Autorius Tema: Token apsauga (Skaityta 949 kartus)

Modestas Vaitkevičius · « **Įrašytas:** 2013-02-03 21:30:58 pm »

Sveiki,
Turiu bėdą - reikia apsaugos, kad įkėlus url kaip paveikslėlį man jo neatidarytų.. Gal kas turit įdėjų kaip tai padaryti? skaičiau, kad su token, tačiau radau tik formoms. Kita mintis yra jquery, jei window yra blurred ar kažkas tokio, die... Na net nežinau

Tad ir klausiu, kaip galima apsisaugoti, kad neitu keisti duomenų pasitelkus kitą puslapį?

Ps. Kam tokia problema? Reikia, kad žmogus pabandęs tokį dalyką nieko nepeštu, nes ir taip yra 3 sesijos sukurtos, kurios nurodo kas per vartotojas ir filtruoja duomenis, bet.. Norisi ir tokių nepalikti

Tiesa, prie to pačio, jei žinot kas url, kur yra dažniausios saugumo klaidos - pasidalinkit

Ačiū labai kas padės

Lukas Liesis · « **Atsakymas #1 Įrašytas:** 2013-02-04 09:54:39 am »

kur ikelus kaip suprast url kaip paveiksleli? Turi omeny, kad nuejus tiesiogiai i paveiksleli ir ji atsidarius narsykleje, jo neatidarytu ar kaip?
dar nesupratau kam token'ui reikia apsaugos (pagal temos pavadinima ^^)

Modestas Vaitkevičius · « **Atsakymas #2 Įrašytas:** 2013-02-04 09:58:00 am »

Na ta prasme, sakykim turiu url su:
web.com?page=delete&id=123
jei aš šitą įdedu į paveikslėlio src, tada man įvykdo tą užklausą, tai yra trina failą. Kaip nuo to apsisaugoti?

Lukas Liesis · « **Atsakymas #3 Įrašytas:** 2013-02-04 09:59:52 am »

Citata iš: Modestas Vaitkevičius 2013-02-04 09:58:00 am

Na ta prasme, sakykim turiu url su:
web.com?page=delete&id=123
jei aš šitą įdedu į paveikslėlio src, tada man įvykdo tą užklausą, tai yra trina failą. Kaip nuo to apsisaugoti?

kam i paveikslelio src deti toki dalyka isviso?

Manualai.lt Forumas · « **Atsakymas #3 Įrašytas:** 2013-02-04 09:59:52 am »

Modestas Vaitkevičius · « **Atsakymas #4 Įrašytas:** 2013-02-04 10:07:22 am »

Yra kas taip daro, tad reikia apsaugos nuo to

Lukas Liesis · « **Atsakymas #5 Įrašytas:** 2013-02-04 10:25:22 am »

Citata iš: Modestas Vaitkevičius 2013-02-04 10:07:22 am

Yra kas taip daro, tad reikia apsaugos nuo to

tai token'as netinka? Cia is esmes tu nori apsisaugoti nuo to, kad jei bus request'as i toki url (web.com?page=delete&id=123) - netrintu failo, ane?

Modestas Vaitkevičius · « **Atsakymas #6 Įrašytas:** 2013-02-04 14:50:08 pm »

Na kaip ir

Token'as galbūt ir tiktų, tačiau kaip jį aplamai naudoti?

Lukas Liesis · « **Atsakymas #7 Įrašytas:** 2013-02-04 15:33:53 pm »

Citata iš: Modestas Vaitkevičius 2013-02-04 14:50:08 pm

Na kaip ir

Token'as galbūt ir tiktų, tačiau kaip jį aplamai naudoti?

token'o viduje turetu buti kazkokia uzkoduota informacija kuria tu atpazintum ir tada leistum ta konkretu veiksma, tai reiskia, kad kai trinti bando, turi perduoti ir dar viena kintamaji, pagal kuri tu galetum ta atpazinima daryti. Aisku visose vietose, kur darai trynima tau reikes atnaujinti koda, kad perdavinetu ta token'a

Modestas Vaitkevičius · « **Atsakymas #8 Įrašytas:** 2013-02-04 15:42:11 pm »

Na kaip ir nebloga mintis

Kas kokį 30 minučių generuoji tokeną, o jį perduodi su url. Jei geras - trini, o jei negeras - ne

Tiesa, gal žinai dar kokių patarimų dėl dažnai paliekamų klaidų?

Gintas Kovalevskis · « **Atsakymas #9 Įrašytas:** 2013-02-04 15:44:23 pm »

Citata iš: Modestas Vaitkevičius 2013-02-04 15:42:11 pm

Na kaip ir nebloga mintis Kas kokį 30 minučių generuoji tokeną, o jį perduodi su url. Jei geras - trini, o jei negeras - ne

Tiesa, gal žinai dar kokių patarimų dėl dažnai paliekamų klaidų?

Su aiškiais aprašymais ir pavyzdžiais http://php.robm.me.uk/

Modestas Vaitkevičius · « **Atsakymas #10 Įrašytas:** 2013-02-04 15:50:34 pm »

Gintai jau per skype kalbam, bet šiaip jo, geras url

Tik problema, kad esu matęs daugiau ir rimtesnių

bendzaminas · « **Atsakymas #11 Įrašytas:** 2013-02-04 21:20:19 pm »

Apskritai šnekant apie token'us, manau, tai neatsiejama saugumo dalis. Ilgą laiką jau dirbu su codeigniter ir pas man jame token'ai visada ON

Modestas Vaitkevičius · « **Atsakymas #12 Įrašytas:** 2013-02-04 21:23:49 pm »

Citata iš: bendzaminas 2013-02-04 21:20:19 pm

Apskritai šnekant apie token'us, manau, tai neatsiejama saugumo dalis. Ilgą laiką jau dirbu su codeigniter ir pas man jame token'ai visada ON

Gal gali plačiau kaip naudoti ne su CI

bendzaminas · « **Atsakymas #13 Įrašytas:** 2013-02-05 10:10:51 am »

Citata iš: Modestas Vaitkevičius 2013-02-04 21:23:49 pm

Citata iš: bendzaminas 2013-02-04 21:20:19 pm
Apskritai šnekant apie token'us, manau, tai neatsiejama saugumo dalis. Ilgą laiką jau dirbu su codeigniter ir pas man jame token'ai visada ON

Gal gali plačiau kaip naudoti ne su CI

Na, pačiam kažko išradinėt nepatarčiau, geriausiai būtų susirasti kažkokią apšlifuotą CSRF (Cross Site Request Forgery) klasę.

Pats veikimo principas yra panašus į CAPTCHA. Formoje hidden input'e saugom kažkokį random unique id, kuris taip pat saugomas ir sesijoje, vykdant formos užklausą tiesiog sutikrinam ar sesijojos reikšmė ir input'o reikšmė identiški. Aišku nepamirštam apie tokius dalykus kaip expiration ir pan. Taip pat galimas ir cookie token'as.

justinas · « **Atsakymas #14 Įrašytas:** 2013-02-05 13:43:36 pm »

Citata iš: Modestas Vaitkevičius 2013-02-04 09:58:00 am

Na ta prasme, sakykim turiu url su:
web.com?page=delete&id=123
jei aš šitą įdedu į paveikslėlio src, tada man įvykdo tą užklausą, tai yra trina failą. Kaip nuo to apsisaugoti?

Pirmiausiai, tai pagal REST, HTTP ir visa ko filosofijas, GET negali daryti naujų įrašų, trinti esamų ir pan. GET iš esmės yra listinimas, apsauga – TIK TIEK. Padarymas šito POST jau iškart apsaugos nuo kišimo į img src. Tiesa, nepadės nuo iframe ir pan.

O bendzaminas paminėjo esmę – čia yra CSRF bėda. Sprendimas tas pats paprasčiausias – sesijoje (ar sausainėlyje – jei kartais norėtum daryti requestą su JS). Ir su kiekvienu bet kokios formos siuntimu tikrintum, ar POST'e ir sesijoje ta reikšmė sutampa. jei ne, dedi kokį 403 ir esi laimingas

Modestas Vaitkevičius · « **Atsakymas #15 Įrašytas:** 2013-02-05 13:49:14 pm »

Justinai, taip, negalima, tačiau man dabar reiktų kiekvienam mygtukui kurti naują formą? Nelogiška

Geriau url ir sugalvoti, kaip jį apsaugoti.

Mintis yra tokia, kad padaryti kaip minėjo Lukas - į url įkišti token'ą, o jį keisti kas 10-30 minučių. Manau tada problemos nebus

Lukas Liesis · « **Atsakymas #16 Įrašytas:** 2013-02-05 16:22:45 pm »

Citata iš: Modestas Vaitkevičius 2013-02-05 13:49:14 pm

Justinai, taip, negalima, tačiau man dabar reiktų kiekvienam mygtukui kurti naują formą? Nelogiška Geriau url ir sugalvoti, kaip jį apsaugoti.

Mintis yra tokia, kad padaryti kaip minėjo Lukas - į url įkišti token'ą, o jį keisti kas 10-30 minučių. Manau tada problemos nebus

dazniausiai token'as keiciasi kiekvienai uzklausai, kai kurie tokenai savyje tiesiog turi uzkoduota info ir nesikeicia, jei ta info nesikeicia.

Modestas Vaitkevičius · « **Atsakymas #17 Įrašytas:** 2013-02-05 17:09:20 pm »

Na taip, bet manau mano variantas irgi geras, kadangi pas mane vistiek po 6 minučių nesinaudojimo - išmeta iš AVP

Manualai.lt Forumas · « **Atsakymas #17 Įrašytas:** 2013-02-05 17:09:20 pm »

Naujienos:

Autorius Tema: Token apsauga (Skaityta 949 kartus)

Manualai.lt Forumas

Manualai.lt Forumas