Diskuse JPW: Je pro mou aplikaci HTTP_REFERER bezpečný?

	Autor	Zpráva
	Levelson Profil *	#1 · Zasláno: 19. 6. 2009, 12:48:36 Odpovědět Citovat Z bezpečnostní důvodů potřebuju aby na stránku http://mujserver.cz/modules.php?name=uploud&id=1 byl přístup pouze ze stránky: http://mujserver.cz/modules.php?name=modul z které se POSTEM odesílají různá data z formuláře ke zpracování, nevím přesně jak to korektně ošetřit. Napadlo mně využití $_SERVER['HTTP_REFERER']... a porovnávání shody povolené adresy, ale nevím jestli to bude bezpečné a dostačující, jestli se nedá nějak lehce podstrčit jiná hodnota HTTP_REFERER (atd). Začínám, nechám si radši poradit, díky
	Chamurappi Profil	#2 · Zasláno: 19. 6. 2009, 12:53:08 Odpovědět Citovat Reaguji na Levelsona: „jestli se nedá nějak lehce podstrčit jiná hodnota HTTP_REFERER“ Dá.
	Levelson Profil *	#3 · Zasláno: 19. 6. 2009, 12:56:07 Odpovědět Citovat TO Chamurappi: to je hezké :((( co bys mi doporučil, htaccess na serveru nemůžu mít, takže to musím ošetřit jen v PHP! ale jak aby to bylo neprůstřelný?
	vynalezce Profil	#4 · Zasláno: 19. 6. 2009, 13:23:50 Odpovědět Citovat k cemu to vlastne potrebujes? co takhle ulozit na te strance id, ip, prohlizec cas datum atp. do db, hash id do cookies a overovat to na te dalsi strance
	joe Profil	#5 · Zasláno: 19. 6. 2009, 13:27:51 Odpovědět Citovat Tak si ukládej třeba do session poslední navštívenou stránku a jak to nebude ta, kterou jsi napsal, tak ho tam nepustíš a přesměruješ jinam.
	vynalezce Profil	#6 · Zasláno: 19. 6. 2009, 13:29:06 Odpovědět Citovat „Tak si ukládej třeba do session poslední navštívenou stránku a jak to nebude ta, kterou jsi napsal, tak ho tam nepustíš a přesměruješ jinam.“ ja bych doporucoval hodit 404ku
	Alphard Profil	#7 · Zasláno: 19. 6. 2009, 13:33:17 Odpovědět Citovat Typickým řešením jsou tokeny.
	Levelson Profil *	#8 · Zasláno: 19. 6. 2009, 13:40:54 Odpovědět Citovat Session OK, celkem chápu, vyzkouším... ale ty Tokeny, neznám, nemáte nato nějaký odkaz k pochopení (viz. Alphard) díky
	Nox Profil	#9 · Zasláno: 19. 6. 2009, 13:42:49 Odpovědět Citovat http://php.vrana.cz/cross-site-request-forgery.php
	imploder Profil	#10 · Zasláno: 19. 6. 2009, 15:08:52 Odpovědět Citovat vynalezce „ja bych doporucoval hodit 404ku“ 404ku (Not found) ne, to by znamenalo, že stránka na dané adresa neexistuje (což existuje). Na tohle je 403ka (Forbidden).
		Časová prodleva: 15 let

0