ecco di nuovo il problema della paginazione
ecco di nuovo il problema della paginazione
U235:
- Io richiamo il mio html (MioDominio/numeri.htm) da cui invio a MioDominio/numeri.asp.
In Asp, tramite HTTP_REFERER leggo da dove proviene la richiesta, ovvero MioDominio.
- Se creo una pagina clone, la carico su un altro server (TuoDominio/numeri.htm) lato server leggo TuoDominio
- Se creo una pagina clone ma la lancio in locale, dal server leggo localhost o addirittura nulla
Questo è molto semplice da verificare e non ha assolutamente nulla a che vedere con tutto ciò che hai scritto pocanzi.
Ti stai intestardendo sulla mia pagina html ma ancora non hai capito che è solo un pagliativo.
edit by mod
evitiamo liguaggio da bar grazie
Ultima modifica di ciro78; 12-06-2017 a 20:30 Motivo: linguaggio scurrile
Io nella vita ho visto cose che voi astemi neanche potete immaginare.
Ma dici sul serio? o stai trollando?
Ma hai letto qualcosa su come funziona la comunicazione tra client e server? Capisco che non ti fidi di quello che ti ho detto, ma almeno leggere qualcosina…Originariamente inviata da SoloWiFi
Ti ripeto: tutto quello che invio al server dal mio client è sempre roba che invio IO DAL MIO COMPUTER! Compreso HTTP_REFERER!!! Quindi potrei tranquillamente simulare la provenienza dal tuo dominio.
Ti ripeto (più che a te al pubblico che potrebbe leggere) NON AFFIDARTI A CONTROLLI PROVENIENTI DAL CLIENT! Il client invia quello che li pare…
Non ho bisogno di creare nessuna pagina clone, mi basta scaricare la tua pagina (collegarmi all’indirizzo), modificare quello che mi pare la dove devo (e in questo caso mi basta re-inviare il tuo codice di controllo senza stressarmi neanche per nulla a modificare un bel nulla…), e inviare i dati che il server si aspetta. COMPRESO quello che tu leggi dal server in HTTP_REFERER.
Come sopra… tu leggi quello che scrive il client…
Appunto… potresti verificare almeno come funzionano le cose prima di scrivere… magari dopo capisci quello che ti ho scritto…
Palliativo di cosa? Guarda che seppure cambi l’estensione alla pagina o trasli da un url all’altro non cambia nulla… la pagina che mi restituisci è sempre e comunque eseguita nel mio computer, e al server invio quello che mi pare e piace.
E poi credimi, l’unico ad intestardirsi qui sei tu… dovresti leggere almeno le basi minime se desideri parlare di queste cose con i toni saccenti che stai usando…
in effetti oggi il forum qualche problemino mi sa che lo ha:
Immagine.png
Nah non è vero, l'http_referer può essere spoofato. Ovvio se tu usi come unico esempio quello di caricare una pagina ed eseguire il form verso altro_sito.com ok, peccato che non sia neanche necessario crearla una pagina ma basta inviare una richiesta con i dati interessati (con http_referer: tuosito.com).
Io penso che tu di base confondi attacchi di tipo csrf con qualcosa che non centra molto...
Ultima modifica di zacca94; 07-06-2017 a 16:23
no, non sbagli, ad esempio google usa le immagini e diversi quesiti. Non sono gli ultimi arrivati e sanno quello che fanno... perché il problema non è riuscire a reperire il dato (quello lo devi passare per forza!), ma riuscire ad interpretarlo.P.S.
Se ho scritto qualcosa di sbagliato tenete conto che esprimo il mio parere mischiando anche esperienza e studio personale: non mi bastonate.
Come detto in precedenza se io al client do un dato testuale non sto facendo nulla per far si che la macchina abbia difficoltà a riconoscerlo, cosa diversa se li fornisco un array di byte (ovvero un immagine) e devo farli interpretare un quesito, allora avrà difficoltà la macchina.
In entrambe i casi il dato lo manda il client a suo piacimento, ma nel caso di google c'è qualche "complessità" in più in quanto la comunicazione non avviene diretta al server (tuo), ma il risultato dell'operazione la valuta il server di google (viene inviata dal client a google tramite una chiamata in background), infatti se osservi noterai che il tutto si può svolgere anche senza postback (ti da l'esito senza chiamare il tuo server) e poi google restituirà al client un codice per l'operazione, poi una volta che la richiesta contenente il recaptcha (ad esempio un form) e il codice restituito da google arriva al server (ora il tuo), sarà questo a chiedere a google tramite una chiamata alle webapi di google (passando ovviamente il codice restituito dall'operazione effettuata su recaptcha) se con quel codice specifico tutto è andato bene oppure no. Dopo lato server decidi cosa fare: puoi farlo passare oppure vedi tu poi che fare lato server (ad esempio reindirizzarlo ad una pagina di errore). Ovviamente puoi anche fare in modo che se non passa non fai partire il form dal client (blocco sul client), ma questo metodo è utile solo se il controllo lo fai anche server, diciamo come "cortesia" per evitare un invio a vuoto, se no, come già detto, al server lo posso inviare comunque anche se la tua pagina me lo vieta tramite script lato client.
solito problema con il bug... ora però al contrario: si vede entrando nel thread ma non si vede tra gli ultimi messaggio o nella pagina iniziale del forum.
EDIT:
solita soluzione: aggiunto questo post.
Ultima modifica di U235; 07-06-2017 a 19:10
L'intenzione era quella di evitare le immagini, ovvero forzare l'utente all'utilizzo manuale indipendentemente dai valori da passare.
Voglio ragionare un po' per la realizzazione di un algoritmo generato tramite ... ancora non so ... con una tipologia di calcolo sempre differente.
Ci penso.
Nel frattempo vorrei eliminare dal server il test che ho fatto ma è lincato nell'inizio della discussione.
Io nella vita ho visto cose che voi astemi neanche potete immaginare.
Potresti provare a far risolvere dei quesiti, ma come per le immagini il problema non è del tutto risolto. Infatti esistono sistemi capaci di risolvere anche dei quesiti mediamente complessi, ma ovviamente l'intento deve essere almeno di "rallentare" l'eventuale azione di una macchina, poi se si riesce ad impedire con quesiti un po più complessi e/o magari sempre diversi... ma qui la cosa diventa un po più difficile, in quanto o stai a cambiarli continuamente (e devono essere pure numerosi), oppure il problema diventa creare un software intelligente (migliore di quello che può fare un attaccante per risolvere) che crei i quesiti logici che siano risolvibili dal l'uomo ma non dalla macchina (insomma la vedo dura...).
Ma perché le immagini non ti piacciono?
Ingombranti
Io nella vita ho visto cose che voi astemi neanche potete immaginare.
Permessi di invio
Rispondi quotando
