LINUX.ORG.RU

Дыра в Мозиле позволяет следить куда уходят посетители


0

0

Была обнаружена дыра в Мозиле в плоть до 1.2а, которая позволяет владельцам веб страничек смотреть куда уходят песетители страницы. Демонстрация дыры доступна http://members.ping.de/~sven/mozbug/r...

>>> Подробности

anonymous

Проверено: green

to: Lexa (*) (2002-09-17 19:28:21.313)

Ну есть еще простой способ- это в формы засовывать как скрытое поле- тогда будет ПОСТ =)

anonymous
()

> anonymous (*) (2002-09-17 19:35:30.21)

Формы, между прочим, с методом гет тоже бывают. Это так, на всякий случай.

Потом в ПХП случае нещадно эксплуатируется пост на гет (пост на скрипт с гет-параметрами) и сессия все равно в гет уйдет.

Ну и потом все на свете постом не сделаешь...

Lexa
()
Ответ на: комментарий от Lexa


> 1. Остаются в хистори

И становятся бесполезны через 15 минут. Какая беда?

> 2. Остаются в логах

А здесь что за проблема?

> Бывают проблемы, если сессия с момента индексирования устарела.

Для поисковых машин даже 5 минут - уже вечность. В реальной жизни ты
можешь зайти через минуту с тем же поиском и не найти материал или
найти его обновленным. Это нормально. Это переменные данные! Сохраняй
важные данные на диск...

> 4. Поисходит смешивание персональных данных пользователя с параметрами сайта.

Не происходит. Ты просто знаком с простейшей технологией работы с сессиями. На самом деле она может быть люой сложности. Взгляни на
библиотеку phplib. Там обрабатываются как временные (сессионные)
параметры, так и долговременные предпочтения юзера.

> Как, например, ты кинешь ссылку другу на сайт

Можешь отрезать, а можешь нет. Сервер распознает другой IP и выдаст
автоматом новый идентификатор. Твой цвет конечно потеряется. Но это ж был _твой_ цвет ;-)

> А ты уверен что сервер привязывает сессии к ИП?

Это задача грамотного программера проследить за этой обязательной проверкой.




anonymous
()

Интересно, как горяие головы предлагают хранить предочтения пользователя после 15 минут? Методом телепатии? Или в обязаловку проходить регистрацию?. Правильно организованая кука сильно облегчает решение этой проблемы. Я не говорю, что юзеру надо вываливать все 20 (или более) параметров в виде отдельных кук. Вполне подойдет решение как в сессии, но через куку.

PS. Любая новая технология вызывает кучу желающих объявить все наработаное ранее отстоем. Мне вспоминается как в свое время было повальное увлечение С++. Прошли годы, но обычный С так и не помер... Не так уж он и плох видать для _своих_ задач.

anonymous
()

> anonymous (*) (2002-09-17 20:52:52.556)

Не, ну можно заново велосипед изобретать. Только нафига? То что тебе пишут куки тебя приводит в сосотояние аффекта, а то что к каждому твоему урлу прилепляется номер твоего банковского счета это нормально. Ну пожалуйста...

Куки изначально разработаны как механизм поддержки сессии при работе по HTTP. Почему бы им не воспользоваться?

То что ты так доверяешь создателям тех сайтов, на которых ты тусуешся говорит только о том что все они находятся на адресе 127.0.0.1 В противном случае откуда ты знаешь сколько времени там длится сессия и сверяется ли IP, группа крови или рисунок сетчатки?

Ну и так, приколу ради... Вопрос: Где дыр было больше? В куках или в гете? Ну комрад Анонимус, порази нас глубиной своей необразованности! ;)

Сессии у него видете ли по-разному устроены... Павлины, говоришь? Хех...

Lexa
()
Ответ на: комментарий от anonymous


> Интересно, как горяие головы предлагают хранить предочтения пользователя после 15 минут?

В таблице базы данных, в файле, что больше нравится. Имеется в виду, что юзер авторизовался на сервере, В его сессии появляется его user_ID.
По user_ID вытаскиваются/пишутся его предпочтения из/в соотвествующей таблицы/файла. Ничего сложного.

> Вполне подойдет решение как в сессии, но через куку.

Прекрасно. Только это решение разваливается в случае отключенных кук у пользователя. Если сайт ну очень крутой и нужный, юзер наверное превозмогет лень и включит куки на время, а если нет, то ау, вебмастер,
пользователь ушел от вас...

anonymous
()
Ответ на: комментарий от Lexa


> То что тебе пишут куки тебя приводит в сосотояние аффекта, а то что к каждому твоему урлу прилепляется номер твоего банковского счета это нормально.

Ну зачем же передергивать, ты же отлично понимаешь, что соврал. Ну не меняешь ты банковский счет при кадом посещении банка...

> Куки изначально разработаны как механизм поддержки сессии при работе по HTTP. Почему бы им не воспользоваться?

Все недостатки кук уже перечислялись дважды. Кто не понял - я не виноват.

> То что ты так доверяешь создателям тех сайтов, на которых ты тусуешся говорит только о том что все они находятся на адресе 127.0.0.1 В противном случае откуда ты знаешь сколько времени там длится сессия и сверяется ли IP

Я сам веб-программист, и то, про что я говорю, я сталкиваюсь с этим ежедневно далеко за пределами 127.0.0.1. Никому я не доверяю и вам не советую. Сверка IP и ограничение сессии по времени - это стандартные вещи для тех, кто занимается этим, интересуется литературой соответствующей, изучает примеры хороших реализаций.

На счет необразованности ты зря дерзишь. Малолеток что ль?

anonymous
()

> anonymous (*) (2002-09-18 04:27:19.895)

Я ужасно извиняюсь что разбил свое предидушее (недлинное в общем) сообщение на столько параграфов. Ты посторайся вспомнить о чем именно мы говорим, прочитай мое сообщение еще разок. Если не помогло - выжди пару дней и возобнови попытки.

Не, мои слова можно разорвать на буквы и сложить из них почти любые слова, но... Ты понял, да?

Lexa
()

За куки с банковским счётом убивать надо.

anonymous
()

to: Кто сверяет IP =)

Сверка IP это глупое занятие! Через прокси провайдера валит куча человек, а X-Forward очень часто гасят. А банковские технологие, конечно не на куках основаны =))

anonymous
()

to: Lexa (*) (2002-09-17 20:00:35.949)

Метод ГЕТ не рекомендуют использовать в формах по многим причинам, описанным в разных доках. Да и на мой взгляд это не принципиально ГЕТ там или ПОСТ, поэтому можно использовать ПОСТ =)

anonymous
()

> anonymous (*) (2002-09-18 09:21:13.616)

Ну вот ты как-нть букмарку на страницу, сгенеренную по посту попробуй поставить...

Lexa
()

to: Lexa (*) (2002-09-18 12:42:49.931)

Ну это то понятно что не покатит =). Мда-а-а... Все запросы хороши выбирай на вкус!

anonymous
()

Да уж... и объясняли ему 4 раза что сверять с IP глупо и толку хоть бы чуть...

PS: Я не вкупился че вы прикопались к запросам и кукам - ну есть, ну так это же рулез... а то что реферы можно читать... так это нормально и имхо совсем не баг... А для секурити и всяких хитрых систем, передающих пароли есть всякие умные хитрости...

eXOR ★★★★★
()

Скользкий ты человек, Lexa. Противно с тобой разговаривать.

anonymous
()


2eXOR (*) (2002-09-18 17:20:57.249)

И как ты сам оцениваешь объяснения про глупость сверки IP?
- на прокси крупного провайдера сидит от силы 1000 человек одновременно
- допустим, что хотя бы половина всех проксей в инете к тому же выдает HTTP_X_FORWARDED_FOR

Посчитал сколько человек могут воспользоваться конкретно твоей сессией, если подсмотрят ее?
А теперь сравни со всем интернетом, мудило, и представь, что IP не проверяется.

anonymous
()

Очень хочется узнать - когда на alt появится mozilla 1.0.1?
Очень не хочется самому поддержу xft собирать, тем более, что
где-то здесь писали, что и не у всех собирается.

jackill ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.