Изпечатай

[gat3way]

Това не би било решение, в смисъл ако забравиш да се logout-неш и отвориш някаква друга страница, пак е възможно, защото сесията ти е активна и session cookie-то ти се пази, въпреки че го нямаш сайта отворен някъде.

Клиентът доста малко може да направи по въпроса. Примерно може да пипнат браузъра така че ако види IMG елемент, когато прави заявката до там накъдето е картинката, да се забрани изпращането на cookie-та до този сайт. Това обаче ще реши само този проблем с картинката във форума, ако някой си направи специална страничка и си поиграе с javascript или дори наблъска тези неща като src на iframes, тази мярка няма да сработи.

Обаче въпросните сайтове могат да направят много неща. Могат просто да направят преди да изпълнят операцията (в случая логаут-ването), една проверка на referer-a и ако идва от друг сайт, това да не се изпълни. А може примерно да се изгенерира един случаен ключ и вместо да се изпълни операцията, да се иска потвърждение....ако се POST-не същият ключ (който си е в един input type=hidden..), тогава операцията е успешна. Тъй като ключа е случаен, аз няма как да го знам, следователно няма как да приготвя злата картинка така че да ви логаут-не там.

[tweeg]

Обаче въпросните сайтове могат да направят много неща. Могат просто да направят преди да изпълнят операцията (в случая логаут-ването), една проверка на referer-a и ако идва от друг сайт, това да не се изпълни. А може примерно да се изгенерира един случаен ключ и вместо да се изпълни операцията, да се иска потвърждение....ако се POST-не същият ключ (който си е в един input type=hidden..), тогава операцията е успешна. Тъй като ключа е случаен, аз няма как да го знам, следователно няма как да приготвя злата картинка така че да ви логаут-не там.

Колкото по-сложно(защитено) правиш логаута толкова по-голяма е вероятността той да пропадне.
От гледна точна на сигурността по-добре някой да те логаутне отколкото като искаш да излезеш да не можеш и да останеш логнат. Нали се сещаш при втория случай колко повече поразии ногат да се направят.

Така че нещата винаги имат две страни.
Навремето се носеха легенди как един луксозен Мерцедес със страшна защита се отварял със запален вестник под колата. От една страна страшна защита да не се отвори, ама от друга - ако си вътре и има пожар - тъпо е да изгориш.

[gat3way]

Между другото изнамерих опцията на firefox-a дето решава конкретния проблем:

about:config -> network.cookie.cookieBehavior

По дефолт е 0, когато го направиш 1, тогава този номер не сработва.

Тъпо

[laskov]

... по-добре някой да те логаутне ...

Ако направи това - добре. Но с малко повече труд и въображение, вероятно ще може да направи и друго, не така безобидно действие.

[gat3way]

По начина по който сътворих тая тъпотия тука имаш много ограничения. Примерно можеш само GET заявки да ползваш, не POST. Това до голяма степен те ограничава. Ако примерно искаш да "попълниш" една формичка на някакъв сайт и да я submit-неш без знанието на "жертвата", то трябва да се надяваш, че въпросният сайт може да приема същите параметри и от GET заявка и тя да сработва...например ако е PHP приложение, да се ползват register_globals и параметъра да се взема по съответния глупав начин. А това е доста малко вероятно.

От друга страна, ако имаш свободата да твориш, можеш да си направиш сам страничка, която създава "скрита" форма и я submit-ва с javascript до сайта-цел. Тогава обаче трябва жертвата там да може да ти отвори страничката. Ако бях с престъпно мислене, бих направил една страничка със смешни снимки и да почна да я разпращам по ICQ например, хората имат навика да отварят такива неща без да мислят много-много....а в момента в който отворят сайта, вече е късно.

[tweeg]

По-добре "безобидните" неща да са по-малко защитени, отколкото "защитата" им да отваря вратички за "не така безобидните".

То ясно, че най-добре всичко да е защитено и сигурно, ама както казват старите хора - колкото е по-сложно едно нещо(да кажем пералня), толкова по-вероятно е да се счупи.

[zeridon]

Ах този лош човек ... как не те беше срам да ме разлогнеш от клубовете на дир-а ... 

Но в случая да ... това е проблем, дори смятам че е проблем на форума за дето не санитайзва това което би трябвало да е картинка. От друга страна може да се помисли и малко по темата с браузърите, как точно да реагират на нещо което твърди че е картинка но миме-типа му не съвпада.

[VladSun]

По начина по който сътворих тая тъпотия тука имаш много ограничения. Примерно можеш само GET заявки да ползваш, не POST. Това до голяма степен те ограничава. Ако примерно искаш да "попълниш" една формичка на някакъв сайт и да я submit-неш без знанието на "жертвата", то трябва да се надяваш, че въпросният сайт може да приема същите параметри и от GET заявка и тя да сработва...например ако е PHP приложение, да се ползват register_globals и параметъра да се взема по съответния глупав начин. А това е доста малко вероятно.

Или да ползват $_REQUEST

[VladSun]

Но в случая да ... това е проблем, дори смятам че е проблем на форума за дето не санитайзва това което би трябвало да е картинка.

Не мисля, че е толкова проблем на форума, колкото на съответните сайтове позволяващи такава атака.

[gat3way]

Мне, това не може да е проблем на форума. В смисъл, дори да се направи такава проверка (по разширение или дори по MIME тип на обекта) тя не е надеждна - примерно не се знае дали днес това сочи към картинка, а утре редиректва където не трябва. Така че проблемът си е предимно на въпросните сайтове. И на потребителите им разбира се.

[ANTIADMIN]

Староооо... и почти толкова банално. И тва ли в milw0rm го видя -.-

[gat3way]

Мне, в уикипедия