Dnia Wed, 2 Aug 2006 23:17:04 +0200, Konrad Kosmowski tak nawijal:
> Powstrzymywać przed czym bo już się pogubiłem?
Przed wypisaniem na ekranie czystego urla, ktory w kliknieciu
zawiera refererowanie (ale ladne slowo) gdzies tam.
> Właściciel serwera WWW ma pełne prawo kontrolować w jaki sposób
> jego serwer reaguje na zapytania.
Tak, calkowita zgoda! Tylko ja chcialbym wiedziec, ze jak klikam
w www.porn.com, to to najpierw leci do admedia, potem do hotclick,
przez jakis statserv, by po fefnastu hopach dotrzec do celu :)
Ale to takie moje zupelnie subiektywne chcenie.
Zaiste, to z bezpieczenstwem nie ma nic wspolnego. Jedziemy dalej.
> Aaaa... W ten sposób (nie sprawdzałem, ale zakładam, że masz rację) -
> ale przecież nad skryptami, które się u Ciebie wykonują masz pełną
> kontrolę.
No tak, ale powiedz jaki odsetek userow jest w stanie objac umyslem
problem, jesli polowa w tym watku poruszonego slownictwa, jest obca.
Nie twierdze, ze tego sie nie da, bo wszystko sie da, jak nie z
automatu to 'z reki' - wystarczy czesto objerzec zrodlo. Ale pani
Zosia tego nie zrobi.
> Niby tak. Tyle, że wysyłania Referer to ja bym z bezpieczeństwem nie
> kojarzył - no bo jakie to niesie zagrożenia?
Jak to jakie? Dowolne dane mozesz wyprowadzic. Po prostu string leci,
a ze wg schematu zawartosc nie musi byc pochodna strony, po ktorej
wlasnie buszujemy, to nie idzie tego w prosty sposob wyfiltrowac.
I czytaj dokladnie: nie mowie o typowym wykorzystaniu wg opisanego
standardu, lecz o naduzyciach.
Z reszta Hotmail dwa razy (o tylu czytalem) juz mial potezne wpadki
dot. wycieku adresow przez zle skonstruowane zapytania gdzie glowna
role graly wlasnie referrersy do firm 'wspolpracujacych'.
Osobiscie twierdze, ze rozwiazanie dawno przestalo byc bezpieczne.
Tak, jak odchodzi sie od ftp na 21., tak nalezaloby odejsc od techniki
referrers. Ale, jak widac, wielu pisarzom jest to nie na reke.
> Oczywiście, że da się takie strony zrobić, mogę zrobić stronę, która
> Ci się nie wyświetli jeżeli nie masz otwartych portów Otoczenia
> Sieciowego. :) Co chcesz powiedzieć właściwie? Bo dla mnie to dosyć
> oczywiste.
Wlasciwie, to poddalem w watpliwosc bezpieczenstwo klikania w linki
w gg, w kontekscie tak ogromnego dbania o niewyplywanie danych.
-- Fran, Nam jest wszystko jedno... Nam to nawet wszystko jedno, czy jest nam wszystko jedno.Received on Thu Aug 3 00:20:07 2006
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Thu 03 Aug 2006 - 00:42:01 MET DST