Re: Ajax - kwestie bezpieczeństwa - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Grupy › pl.comp.www › Ajax - kwestie bezpieczeństwa › Re: Ajax - kwestie bezpieczeństwa

Path: news-archive.icm.edu.pl!agh.edu.pl!news.agh.edu.pl!newsfeed2.atman.pl!newsfeed.
atman.pl!.POSTED!not-for-mail
From: Tomek Kańka <t...@t...eu.org>
Newsgroups: pl.comp.www
Subject: Re: Ajax - kwestie bezpieczeństwa
Date: Thu, 20 Dec 2012 16:24:34 +0000 (UTC)
Organization: ATMAN - ATM S.A.
Lines: 50
Message-ID: <s...@t...dom.local>
References: <kancal$fhc$1@node2.news.atman.pl> <s...@t...dom.local>
<kaqq5q$okr$1@node2.news.atman.pl> <kaqq8c$okr$2@node2.news.atman.pl>
<s...@t...dom.local> <kas7r3$32s$1@node2.news.atman.pl>
<s...@t...dom.local> <katfgl$uo8$1@node1.news.atman.pl>
NNTP-Posting-Host: host-80-238-125-99.jmdi.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit
X-Trace: node2.news.atman.pl 1356020674 6246 80.238.125.99 (20 Dec 2012 16:24:34 GMT)
X-Complaints-To: u...@a...pl
NNTP-Posting-Date: Thu, 20 Dec 2012 16:24:34 +0000 (UTC)
User-Agent: slrn/0.9.9p1 (Linux)
Xref: news-archive.icm.edu.pl pl.comp.www:401690
[ ukryj nagłówki ]
Marek <p...@s...com> napisał(a)
> W dniu 2012-12-19 21:51, Tomek Kańka pisze:
>
>> Dlaczego Twoje ajaxowe requesty odbywają się poza sesją i jak udało Ci
>> się ro osiągnąć?
>
> Nie odbywają się poza sesją. Tego nie napisałem. Może bardziej
> konkretnie, Jest sobie w PHP moduł A, który wyświetla rekordy z jakiejś
> tabeli. Gdy wybierzemy jakiś rekord do edycji, to przeładowujemy
> formularz, dane trafiają do modułu A, który waliduje nasze żądanie i
> jeśli wszystko jest ok, to ustawia w sesji kontekst i przekierowuje na
> inny URL. Tam moduł B odbiera kontekst i wyświetla inny formularz, w
> którym możemy edytować kliknięty rekord.
>
> Takie rozwiązanie daje nam bezpieczeństwo w takiej postaci, że
> bezpośrednie wejście na ten "inny URL", gdzie pracuje moduł B, i
> przesyłanie czegokolwiek GETem lub POSTem, nie będzie w stanie uruchomić
> edycji jakiegokolwiek rekordu bo moduł B nie nasłuchuje tych zmiennych
> wcale. On czego na zmienne sesyjne.
>
> Teraz wkracza Ajax. Jesteśmy na pierwszym URL z listą rekordów. Klikamy
> jakiś do edycji no i Ajax musiałby w tym momencie wyświetlić od razu
> edytor - no bo po to jest Ajax aby strona się nie przeładowywała.

> Nie ma etapu komunikacji za pomocą sesji.

Może wynika to z tego, że nie znam PHP i w związku z tym nie rozumiem
Twojego mechanizmu, ale...

co to znaczy "nie ma etapu komunikacji za pomocą sesji"?

Przecież (już stosując niskopoziomowy żargon) te ajaxowe requesty
zawierają te same cookie i należą do tej samej sesji. Dlaczego ich nie
wysyłasz do tego modułu A? ROzumiem, że on wysyła header 30x z urlem do modułu
B? Jest jakiś problem z 30x i ajaxem? Nie wiem, tego na pewno, ale nie
wydaje mi się, że to jest jakiś problem.

> Ajax włazi na drugi URL i musi mu
> podesłać kontekst jakoś. No a to byłoby już za pośrednictwem
> przeglądarki, co nie jest dopuszczalne.
>
> Teraz kombinuję... a może Ajax dokonywałby 2 requestów? Pierwszy
> dokonywałby komunikacji z modułem A wystawiającym kontekst, a potem
> łączył się z innym URL w celu wyświetlenia edytora rekordu we współpracy
> z modułem B, który to potrafi.
>
> Dodam, że pojęcie kontekstu nie jest banalne. To może być bardzo wiele
> informacji.