הוסטס - פורום אחסון האתרים הגדול בישראל

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)

- פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)

- - טופס נשלח באמת מהעמוד?? (https://hosts.co.il/forums/showthread.php?t=79553)

dabi	14-11-09 18:39

טופס נשלח באמת מהעמוד??

יש לי טופס שיש בו כל מיני אפשרויות בחירה
כמובן שכל אפשרות נבדקת לפי תקינות קלט לפני שהיא ניכנסת למסד וכו'
אבל עדיין במידה והטופס ישלחו מעמוד חיצוני ולא באמת מהעמוד שבאתר שלי זה יכול לגרום לבעיות
יש דרך לאמת את זה? דרך שעובדת ב100 אחוז?
ובכלל איזה עוד דרכים צריך לעשות בטפסים?(מנגנון הצפה כבר יש) על מנת למנוע פרצות מיותרות

תודה

SniR-S

14-11-09 21:52

ברגע שעבדת נכון עם הקוד, וביצעת אימות מול השרת
ולא רק מול הלקוח, אין לך ממה לדאוג ולחשוש.
בעיקרון הקוד שלך בעיקר (יותר נכון, קודם כל) אמור לסנן מול השרת.
ורק לאחר מכן, אתה יכול להוסיף צד-לקוח .
הכוונה שלי, שזה לא משנה אם האימות בקוד יהיה קודם בסדר
שהוא דבר ראשון בודק את הנתונים בצד לקוח, ואחר כך בצד שרת
כי אתה יכול לעשות את הסידור של הקוד איך שבא לך ולפי הטעם, הראש והנוחות שלך.
אבל העיקר, הכי חשוב הוא שהנתונים בסופו של דבר יבדקו ע"י הקוד אל מול השרת שלך.
אם זה הנתונים שמועברים, נבדקים בצד שרת, אין לך מה לדאוג ואין לך חשש.

נריה	15-11-09 01:26

ציטוט:

נכתב במקור על ידי Snir Shamka (פרסם 746037)

עדיין,עדיף לבדוק זאת על מנת לחסוך צרות מיותרות.
אפשרי דרך סישן לבדוק זאת.
בהצלחה

Shay Ben Moshe

15-11-09 17:13

בעקרון, אי אפשר להיות בטוח. מה שאני ממליץ לך זה לבדוק HTTPֹ_REFER למרות שאפשר לערוך את זה, אבל זה מורכב. אני ממליץ לעשות כמו שנאמר מעלי שימוש בSESSION/COOKIE לצורך אימות.

intercooler3819

15-11-09 17:52

token up your system :)

AlmogBaku

17-11-09 13:58

ssl?

Daniel

17-11-09 22:08

גם tokens וגם SSL לא "יעלימו" את הסיכוי לשליחה מעמוד שונה.

אי אפשר למנוע את זה.
פשוט בלתי אפשרי.

אין סיבה שתצטרך למנוע ממישהו לעשות את זה...

intercooler3819

17-11-09 22:47

למה, עם טוקנים אתה יכול למנוע את רוב הניסיונות של C/XSRF שזה למעשה הקטע של ביצוע POST או GET מעמודים אחרים או טאבים אחרים

AlmogBaku

17-11-09 23:08

token+captcha צריכים להגן על רוב הבעיות בטפסים ציבוריים, לרוב קפצ'ה יספיק.

OrPol

18-11-09 07:26

ציטוט:

נכתב במקור על ידי Baku (פרסם 746321)

token+captcha צריכים להגן על רוב הבעיות בטפסים ציבוריים, לרוב קפצ'ה יספיק.

בדיקה וסינון של כל מה שנכנס + captcha יספיקו. מה כבר אפשר לעשות?

Daniel

18-11-09 18:33

ציטוט:

נכתב במקור על ידי nitsanbn (פרסם 746315)

אם אני ארצה מדף קיים לשנות דברים מסויימים -
אני אשתמש עכשיו ב-firebug (או אעשה בדיוק את אותו הדבר באמצעות javascript: document.get.....Id(...).maxLength = 100000000000; void 0;

אם מישהו מאוד ירצה הוא יוכל לעבור כל אימות בצד לקוח.

ואם אני ארצה לשלוח מדף אחר -
אני בעזרת IFRAME (ל-AJAX עלול להיות Security Limitations), אשיג את ה-TOKEN בטופס, ואדאג לשלוח אותו למקום המתאים.

אי אפשר לחסום את זה.

intercooler3819

19-11-09 22:39

אי אפשר זה קטילה כללית - כי את הכל אי אפשר לחסום...

אבל פתרון כללי זה TOKEN-ים :)

AlmogBaku

19-11-09 23:32

בואו נדבר ט'כלס- רמת אבטחה של בנקים:
יש להם SSL עם התעודה הכי יקרה שיש+טוקנים שמוקנים בלה בלה ואני עדיין מתערב שאם קבוצה של 100 האקרים עושים על בנק אמבוש..
אבל אתם יודעים מה? לבנק לא אכפת. למה?
א. יש להם תעודת SSL יקרה, ואם לא קלטתם התעודה הזו היא ביטוח. והביטוח הזה יכנס באמאמא של ההאקרים
ב. הם אחראים ומחזיקים שרתי גיבוי וטכנאים למקרי חירום
ג. יש להם גדודים של עורכי דין

אבל.. אתה לא בנק. אין סיבה לנקוט ביותר מSSL קפצ'ה וטוקנים.
וכשתהיה מתכנת של בנק אל תתייעץ פה.

אני חושב שקיבלתם תשובה מספקת, חלאס לריב על כל דבר. מאסטרT, מי שרוצה ייעוץ מקצועי מאוד שלא יפנה פה, מהסיבה הפשוטה שזה לא מקצועי מצידו להתייעץ בפורום הזה. אתה צריך לתת תשובה קצרה וקולעת ולהסביר, לא לחפור. אני גם ככה בספק אם חצי מהאנשים שקוראים את זה מבינים בכלל מה זה קפצ'ה וSSL וטוקנים.

Daniel

20-11-09 16:19

ציטוט:

נכתב במקור על ידי Baku (פרסם 746581)

אני חושב שקיבלתם תשובה מספקת, חלאס לריב על כל דבר. מאסטרT, מי שרוצה ייעוץ מקצועי מאוד שלא יפנה פה, מהסיבה הפשוטה שזה לא מקצועי מצידו להתייעץ בפורום הזה. אתה צריך לתת תשובה קצרה וקולעת ולהסביר, לא לחפור. אני גם ככה בספק אם חצי מהאנשים שקוראים את זה מבינים בכלל מה זה קפצ'ה וSSL וטוקנים.

לא כל שאלה צריך לענות תשובה כן/לא/captcha/token.

יש הבדל גדול בין "לחפור ו...", לבין גישה שמישהו עלול לצאת איתה מהנושא הזה - "יש לי X, Y, ו-Z - והמערכת שלי חסינה".
וכמו שאמרת - גם אני בספק אם חצי מהאנשים שיקראו את האשכול יבינו שגם אם הם יעשו את הדברים שצויינו כאן - הם עדיין, לא יהיו 100% בטוחים.

ומי שלא מבין - יפתח נושא או יגיב וישאל מה זה. כשמישהו שואל שאלה "איך עושים XYZ ב-PHP?", אתה לא תעשה הקדמה לתשובה של "מה זה PHP" כי יש סיכוי מסויים שמי שיכנס לנושא לא ידע מה זה.

הוא אמר שאם זה ישלח מעמוד חיצוני זה עלול לגרום לבעיות - אז אל תגיד "ssl, token, captcha" - כי מישהו עלול להסיק שכן - זהו הפתרון שימנע את הכל.

מן הסתם שהוא לא עכשיו מתכנת כאן אתר של בנק ומתייעץ איתנו - אבל יש principles שלפחות - ברמה התיאורטית - צריך לדעת למה ואיך וכמה, ולא סתם "תעשה ככה - מה זה משנה".

intercooler3819

22-11-09 01:01

ציטוט:

נכתב במקור על ידי MasterT (פרסם 746667)

לא כל שאלה צריך לענות תשובה כן/לא/captcha/token.

יש הבדל גדול בין "לחפור ו...", לבין גישה שמישהו עלול לצאת איתה מהנושא הזה - "יש לי X, Y, ו-Z - והמערכת שלי חסינה".
וכמו שאמרת - גם אני בספק אם חצי מהאנשים שיקראו את האשכול יבינו שגם אם הם יעשו את הדברים שצויינו כאן - הם עדיין, לא יהיו 100% בטוחים.

ומי שלא מבין - יפתח נושא או יגיב וישאל מה זה. כשמישהו שואל שאלה "איך עושים XYZ ב-PHP?", אתה לא תעשה הקדמה לתשובה של "מה זה PHP" כי יש סיכוי מסויים שמי שיכנס לנושא לא ידע מה זה.

הוא אמר שאם זה ישלח מעמוד חיצוני זה עלול לגרום לבעיות - אז אל תגיד "ssl, token, captcha" - כי מישהו עלול להסיק שכן - זהו הפתרון שימנע את הכל.

מן הסתם שהוא לא עכשיו מתכנת כאן אתר של בנק ומתייעץ איתנו - אבל יש principles שלפחות - ברמה התיאורטית - צריך לדעת למה ואיך וכמה, ולא סתם "תעשה ככה - מה זה משנה".

עקרונות

nbiwy

22-11-09 03:45

ציטוט:

נכתב במקור על ידי dabi (פרסם 745995)

אבל עדיין במידה והטופס ישלחו מעמוד חיצוני ולא באמת מהעמוד שבאתר שלי זה יכול לגרום לבעיות
תודה

החשיבה שלך צריכה להיות שונה.
אתה צריך להגיע למצב שאם ישלחו את הטופס ממקום חיצוני, זה לא יגרום לבעיות....

כל הזמנים הם GMT +2. הזמן כעת הוא 14:53.