Autor | Zpráva | ||
---|---|---|---|
8vm8 Profil |
#1 · Zasláno: 5. 4. 2013, 12:58:16
Ahoj,
na webu celkem často používám metodu $.post, $.get. Když se data odesílájí jednou z těchto metod, tak se zobrazují procesy v konzoli a zobrazují cestu k souboru. Data jsou většinou odesílána do externího souboru, kde se pracuje s databází. Chci se tedy zeptat, jak by se dalo zabránit zobrazení té cesty nebo alespoň to nějak zamaskovat, a jak velké nebezpečí spočívá v tom, že si takhle případný útočník může zmapovat nějaké soubory. |
||
ShiraNai7 Profil |
#2 · Zasláno: 5. 4. 2013, 13:03:50
8vm8:
„alespoň to nějak zamaskovat“ Je jedno jak moc to "zamaskuješ", potenciální útočník bude mít vždy možnost ti tam poslat to, co chce. Raději piš ty obsluhující serverové skripty tak, aby se zneužít nedaly. Validace / omezení uživatelského vstupu je vždy nutností. |
||
_es Profil |
#3 · Zasláno: 5. 4. 2013, 13:29:53
8vm8:
Čo si predstavuješ pod „zamaskovať“? Prehliadač má snáď právo zobraziť v nejakých svojich vývojárskych nástrojoch užívateľovi sieťovú komunikáciu. Ako by si mu to chcel z cudzej webstránky zakázať? |
||
8vm8 Profil |
Pokud v htacess zakážu přístup uživatelům do adresáře, tak tam nebude mít přístup ani javascript a nebude mi tedy fungovat aplikace. Jaké by teda bylo vhodné řešení?
Nevím, právě poto se ptám. Nechci mu zakazovat ji zobrazit. Jen mi příjde celkem nebezpečné, že uživatel vidí umístění mých souborů na webu. |
||
_es Profil |
#5 · Zasláno: 5. 4. 2013, 13:41:26
8vm8:
„Jen mi příjde celkem nebezpečné, že uživatel vidí umístění mých souborů na webu.“ Je vcelku logické, že môže „vidieť“ všetko, čo môže „vidieť“ prehliadač. Ty musíš spraviť také „zabezpečenie“, ktoré s tým počíta. |
||
8vm8 Profil |
#6 · Zasláno: 5. 4. 2013, 13:43:07
Právě na to se ptám, jak to udělat.
|
||
_es Profil |
#7 · Zasláno: 5. 4. 2013, 13:50:54
8vm8:
No ale to už ale predsa závisí od teba, čo chceš „zabezpečiť“ a ako to „zabezpečíš“. Ak sa poliehaš na to, že návštevník, zo zdrojového kódu JS, či zo sieťovej komunikácie, nepríde na verejne prístupné rozhranie, umožňujúce mu trebárs zmazať databázu, tak to nie je „zabezpečenie“. |
||
Chamurappi Profil |
#8 · Zasláno: 5. 4. 2013, 14:25:17
Reaguji na 8vma8:
„jak by se dalo zabránit zobrazení té cesty nebo alespoň to nějak zamaskovat“ Nijak. Všechno, co dělá JavaScript, je veřejně přístupné. K čemu může prohlížeč, k tomu může i útočník. „jak velké nebezpečí spočívá v tom, že si takhle případný útočník může zmapovat nějaké soubory“ Asi stejné, jako když si nevidomý zloděj slepeckou holí oťuká vchodové dveře od bytu. Samo o sobě je to neškodné, záleží, co s tím může dělat dál. Samozřejmě, že ti může na server na libovolnou adresu posílat jakýkoliv HTTP požadavek. |
||
Časová prodleva: 11 let
|
0