-
Path: news-archive.icm.edu.pl!news.gazeta.pl!not-for-mail
From: porneL <n...@p...net>
Newsgroups: pl.comp.www
Subject: Re: Bezpieczenstwo - formularz logowania, pamietanie hasla, xss, csrf
[dlugie]
Date: Tue, 25 May 2010 22:05:38 +0100
Organization: "Portal Gazeta.pl -> http://www.gazeta.pl"
Lines: 32
Message-ID: <o...@a...local>
References: <htbqci$6de$1@inews.gazeta.pl>
NNTP-Posting-Host: 87.115.147.215
Mime-Version: 1.0
Content-Type: text/plain; charset=utf-8; format=flowed; delsp=yes
Content-Transfer-Encoding: 8bit
X-Trace: inews.gazeta.pl 1274821544 27024 87.115.147.215 (25 May 2010 21:05:44 GMT)
X-Complaints-To: u...@a...pl
NNTP-Posting-Date: Tue, 25 May 2010 21:05:44 +0000 (UTC)
X-User: pornelspam
User-Agent: Opera Mail/10.54 (MacIntel)
Xref: news-archive.icm.edu.pl pl.comp.www:395943
[ ukryj nagłówki ]On Sun, 23 May 2010 18:58:43 +0100, Stefan <s...@c...wp.pl> wrote:
>
> Uzytkownicy chca tej funkcji. Z tego co sie orientuje to sa dwa wyjscia:
>
> - iframe zamiast div z trescia ladowana ajaxem,
> - przechowywanie tych formularzy w pierwszym DOMie wysylanym do
> przegladarki.
>
> Pierwszego nie chce - jest niezgodne z XHTML i ogolnie ble.
Ble (szczególnie cofanie UI do ery modalnych aplikacji jest ble), ale
mylisz XML ze Strict DOCTYPE. http://pornel.net/xhtml
> A druga metoda otwiera wektor ataku CSRF. W koncu formularz (wypelniony
> przez przegladarke) caly czas siedzi gdzies w DOMie i moze byc odczytany
> przez wstawiony javascript.
To, jak jest serwowany formularz nie ma wiele wspólnego z CSRF. Ważne
jest, jak jest odbierany.
Może chodzi ci o atak XSS? Jak masz luki XSS, to i tak masz przerąbane, bo
atakujący może ci też popodmieniać standardowe funkcje przeglądarki,
podstawić fałszywy formularz, dłubać we wszystkich ajaxach, ramkach z tej
samej domeny, itd.
Wstaw normalny formularz, a w nim jakiś niezgadywalny token i będzie ok.
--
http://pornel.net
this.author = new Geek("porneL");
Następne wpisy z tego wątku
Najnowsze wątki z tej grupy
- Jakie znacie działające serwery grup dyskusyjnych?
- is it live this group at news.icm.edu.pl
- php, linki z nazwami a $_GET, SEO
- www polityka pl captcha
- dyktatura brudnego palucha
- www.znanylekarz.pl
- Czy pytanie o sczytywanie stron programami/skryptami to tu?
- Grupy webdevowe
- Jak wydrukować stronę?
- IIS, kilka witryn
- linki <a href="/strona.php"> (ze slashami)
- co rozszerza stronę??
- responsywny akapit <p>
- Czy istnieje jakiś emulator przeglądarek pod Mac'a?
- taka sama konfiguracja dla localhost i produkcji
Najnowsze wątki
- 2025-01-04 13. Raport Totaliztyczny: Powszechna Deklaracja Praw Człowieka Nie Chroni Przed Wyzyskiem Ani Przed Eksploatacją
- 2025-01-04 Zbieranie danych przez www
- 2025-01-04 reverse engineering i dodawanie elementów do istniejących zamkniętych produktów- legalne?
- 2025-01-04 w Nowym Roku 2025r
- 2025-01-04 Warszawa => Specjalista ds. IT - II Linia Wsparcia <=
- 2025-01-04 Warszawa => Java Developer <=
- 2025-01-04 Warszawa => Spedytor Międzynarodowy <=
- 2025-01-04 Warszawa => System Architect (Java background) <=
- 2025-01-04 Wrocław => Application Security Engineer <=
- 2025-01-04 Chrzanów => Specjalista ds. public relations <=
- 2025-01-04 Katowice => Key Account Manager (ERP) <=
- 2025-01-03 Problem z odczytem karty CF
- 2025-01-03 Jazda z Warszawy do Krakowa teslą
- 2025-01-03 Wrocław => Konsultant Wdrożeniowy Comarch XL/Optima (Księgowość i
- 2025-01-03 Warszawa => International Freight Forwarder <=
![Działalność nierejestrowana - na czym polega i z czym się wiąże? [© StockRocket - Fotolia.com]](https://s3.egospodarka.pl/grafika2/ulgi-dla-firm/Dzialalnosc-nierejestrowana-na-czym-polega-i-z-czym-sie-wiaze-208993-50x33crop.jpg "Działalność nierejestrowana - na czym polega i z czym się wiąże? [© StockRocket - Fotolia.com]")
Działalność nierejestrowana - na czym polega i z czym się wiąże?
