-
Path: news-archive.icm.edu.pl!news2.icm.edu.pl!not-for-mail
From: "Marek" <m...@s...interia.pl>
Newsgroups: pl.comp.www
Subject: Re: Jak pokazać ścieżkę dostępu do dokumentu?
Date: Sat, 7 Mar 2009 20:01:51 +0100
Organization: http://news.icm.edu.pl/
Lines: 56
Message-ID: <gougar$te3$1@achot.icm.edu.pl>
References: <gor2lh$feg$1@achot.icm.edu.pl> <gor893$ook$1@nemesis.news.neostrada.pl>
<gor9bq$oip$1@achot.icm.edu.pl> <gorb3n$a5b$1@atlantis.news.neostrada.pl>
<gorvec$t65$1@achot.icm.edu.pl> <o...@a...local>
<gotpj5$2v3$1@achot.icm.edu.pl> <o...@a...local>
NNTP-Posting-Host: chello084010100080.chello.pl
Mime-Version: 1.0
Content-Type: text/plain; format=flowed; charset="iso-8859-2"; reply-type=response
Content-Transfer-Encoding: 8bit
X-Trace: achot.icm.edu.pl 1236452507 30147 84.10.100.80 (7 Mar 2009 19:01:47 GMT)
X-Complaints-To: a...@i...edu.pl
NNTP-Posting-Date: Sat, 7 Mar 2009 19:01:47 +0000 (UTC)
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5579
X-Priority: 3
X-Newsreader: Microsoft Outlook Express 6.00.2900.5512
X-MSMail-Priority: Normal
Xref: news-archive.icm.edu.pl pl.comp.www:390902
[ ukryj nagłówki ]> Ale POST wcale nie jest bezpieczniejszy niż GET! W obu przypadkach każdy
> ma możliwość przesłania ci dowolnych danych.
Ja nie mówiłem o bezpieczeństwie wcale lecz o utrudnieniu ingerencji. Powiem
na przykładzie: był kiedyś formularz kontaktowy na jakimś serwisie
wykorzystujący GET. Okazało się, że w pewnym momencie przychodziły z niego
jakieś dziwne emaile i to po kilka na sekundę. Poproszono mnie o pomoc w tym
temacie. Z chwilą gdy przerobiłem go na POST ruch natychmiast ustał.
Dodatkowo dorzuciłem jeszcze w ukrytym polu ID transakcji aby jeszcze
bardziej ograniczyć działalność botów spamerskich.
> Nawet nie potrzeba do tego specjalnie hackerskich narzędzi, np. w Operze
> można otworzyć źródło strony, przerobić formularz, odświeżyć stronę z
> cache i wysłać przerobione dane.
Ale to już wymaga znacznie większej ilości pracy. Niewiele osób ma ochotę
grzebać aż tak głęboko. GET wypełnią nawet nudzące się dzieci.
> POST przyciąga spamerskie boty znacznie bardziej niż GET, a dobrym botom
> można zakazać GET w robots.txt.
Sęk w tym, że identyfikacja takiego bota jest żadna. Przypadkowy IP,
podszywanie się pod przeglądarkę itp. Nie ma jak zakazać.
> OK, ale proponuję to robić dodatkowo, a nie zamiast tworzenia niezawodnych
> URL-i.
No dobrze, a po co w serwisie dwie wyszukiwarki oferujące to samo tyle
tylko, że jedna pracująca w trybie GET i nie pozwalająca na łatwy powrót do
niej gdy w łąńcuszku zdarzeń jakiś POST się przytrafił?
> To nie ma związku z wyszukiwarką, szczególnie jakbyś prawidłowo użył GET.
Akurat to ma związek m.in. z wyszukiwarką i każdym innym formularzem w
serwisie. Jeśli wszystkie formularze zostaną zamaskowane w podobny do
wspomnianego sposób to wszystkie zadziałają w sposób intuicyjny dla
oglądającego w chwili gdy będzie on cofał się o dowolną ilość kroków.
> Kiedy potrzeba użyć POST, to ten bug obchodzi się wysyłając status 303 i
> przekierowanie.
Nie zaskoczyłem? Co można w ten sposób zyskać i jak miałoby to działać?
Jeśli możesz to przedstaw mi krok po kroku wypełnienie formularza i wpływ
tej medody na problem "wstecz".
> Tego się nie czepiam. Czepiam się, że używasz POST zamiast GET tam, gdzie
> się nie powinno.
POST tak czy owak muszę stosować choćby z uwagi na limit danych GET. Już raz
musiałem przerabiać formularz gdy zaczął się rozrastać aż w końcu
przekroczył limit. Spróbuj potem namierzyć problem gdy coś bardzo
sporadycznie przestaje działać... GET jest dobry dla prostych i zamkniętych
rozwiązań typu wyszukiwarka Google. Gdy co jakiś czas musisz dodawać nowe
funkcje, bo klient tak sobie życzy, to zrobisz sobie krzywdę prędzej czy
później bazując na GET.
Następne wpisy z tego wątku
- 07.03.09 19:04 Marek
- 07.03.09 19:13 Marek
- 07.03.09 20:21 porneL
- 07.03.09 22:58 Grzegorz Staniak
- 07.03.09 23:00 Grzegorz Staniak
- 09.03.09 10:58 Marek
- 09.03.09 11:05 Marek
- 09.03.09 11:06 Marek
- 09.03.09 14:36 Grzegorz Staniak
- 09.03.09 20:22 porneL
- 09.03.09 21:10 Marek
- 09.03.09 21:17 Marek
- 09.03.09 21:49 Konrad Kosmowski
- 09.03.09 23:29 porneL
- 10.03.09 00:42 Marek
Najnowsze wątki z tej grupy
- Jakie znacie działające serwery grup dyskusyjnych?
- is it live this group at news.icm.edu.pl
- php, linki z nazwami a $_GET, SEO
- www polityka pl captcha
- dyktatura brudnego palucha
- www.znanylekarz.pl
- Czy pytanie o sczytywanie stron programami/skryptami to tu?
- Grupy webdevowe
- Jak wydrukować stronę?
- IIS, kilka witryn
- linki <a href="/strona.php"> (ze slashami)
- co rozszerza stronę??
- responsywny akapit <p>
- Czy istnieje jakiś emulator przeglądarek pod Mac'a?
- taka sama konfiguracja dla localhost i produkcji
Najnowsze wątki
- 2024-09-14 Canon 550D
- 2024-09-14 Odcinkowy Pomiar Prędkości. NIELEGALNY w Polsce!!! Nie daj SIĘ!
- 2024-09-14 Warszawa => Menadżer Okręgu <=
- 2024-09-14 Łódź => Spedytor Międzynarodowy <=
- 2024-09-14 Warszawa => Kierownik Działu Spedycji Międzynarodowej <=
- 2024-09-14 Warszawa => Technical Leader (Java Background) <=
- 2024-09-14 Gdynia => Spedytor Międzynarodowy <=
- 2024-09-14 k.o.mendant
- 2024-09-12 Z cyklu POJEBANA UE: samochody elektryczne nie mogą być tanie i dobre
- 2024-09-13 dodanie karty graf zawiesza komp
- 2024-09-13 Sezon grzewczy kurła
- 2024-09-13 Warszawa => Spedytor Międzynarodowy <=
- 2024-09-13 Warszawa => Mid Account Manager <=
- 2024-09-13 Warszawa => QA Engineer <=
- 2024-09-13 Białystok => Frontend Developer (Angular area) <=