Обошлись только данными запроса, без троганья базы, или диска? Обошлись. PROFIT!
вот это кстати разумно если учесть что сессионный адаптер может быть достаточно различным)
Форум → Программирование → Python → Django → django csrftoken
Страницы: ← Предыдущая страница • Следующая страница →
3 декабря 2011 г. 21:36, спустя 4 минуты 18 секунд
Обошлись только данными запроса, без троганья базы, или диска? Обошлись. PROFIT!
3 декабря 2011 г. 21:49, спустя 12 минут 28 секунд
3 декабря 2011 г. 21:53, спустя 4 минуты 41 секунду
защита должна отрабатывать на этом уровне вне зависмости от того есть сессия
3 декабря 2011 г. 22:08, спустя 14 минут 37 секунд
3 декабря 2011 г. 22:10, спустя 2 минуты 22 секунды
3 декабря 2011 г. 22:13, спустя 2 минуты 59 секунд
3 декабря 2011 г. 22:16, спустя 3 минуты 9 секунд
защита должна отрабатывать на этом уровне вне зависмости от того есть сессия
Если в джанге сессии не всегда стартуют, то это аргумент. Остальные про персонализацию - нет.
предположим теперь такой расклад: каким-то образом пользователь проебал свой sessionid. обеспечит нам scrftoken в нынешнем виде защиту от поддельных данных? — нет!
то есть свою функцию он не выполняет сам по себе.
3 декабря 2011 г. 22:22, спустя 5 минут 25 секунд
Ты уверен, что всё впорядке? Ничего поменять не хочется?
3 декабря 2011 г. 22:33, спустя 10 минут 59 секунд
3 декабря 2011 г. 22:37, спустя 4 минуты 4 секунды
И по определению csrf защита должна отрабатывать на этом уровне вне зависмости от того есть сессия, или нет.
Обычный сайт визитка с формой обратной связи. Зачем там сессии??
3 декабря 2011 г. 22:39, спустя 2 минуты 25 секунд
3 декабря 2011 г. 22:43, спустя 3 минуты 55 секунд
в реальности верстало обнаружит, что экранирование убивает любой вывод html из переменной и будет выключать это экранирование во всех местах где переменная хранит разметку. то есть во всех местах потенциально уязвимых, а там где экранирование НЕнужно, оно будет таки делаться.
3 декабря 2011 г. 22:45, спустя 2 минуты 2 секунды
3 декабря 2011 г. 22:59, спустя 13 минут 56 секунд
теперь возвращаемся к изначальному вопросу. если наш токен не обеспечивает никакой дополнительной защиты, зачем он нужен? к чему эти якобы исправления в безопасности — в старых версиях токен посылался вообще в любой форме, а теперь типа толmко в тех которые ведут на внутренние адреса — да и хуй бы с ним! вся безопасность сводится только к sessionid.
И по определению csrf защита должна отрабатывать на этом уровне вне зависмости от того есть сессия, или нет.
Ну это не аргумент вообще.
Обычный сайт визитка с формой обратной связи. Зачем там сессии??
3 декабря 2011 г. 23:11, спустя 11 минут 33 секунды
Сross Site Request Forgery. Ключевое слово я выделил. Злоумышленник подделывает запрос. И защита на уровне запроса и речь только про запрос.
Страницы: ← Предыдущая страница • Следующая страница →
Пожалуйста, авторизуйтесь, чтобы написать комментарий!