scusa, ma ti sei già risposto.Originariamente inviato da mark2x
è possibile invece far modificare il referer ad un browser non sotto il nostro controllo?
Il client fa il client, il server fa il server. Il referrer può essere modificato dal client e il server non può farci nulla.
...non ho parlato di server...
Sui browser sotto il nostro diretto controllo, cioè che girino sul nostro PC, ok.
Su browser che semplicemente visualizzano nostre pagine: si/no? Come?
N O N P U O I.Originariamente inviato da mark2x
Su browser che semplicemente visualizzano nostre pagine: come?
Così è chiaro?
Se il browser è così gentile da voler lasciare il referrer originale, tanto di guadagnato, ma non ci si può contare sopra.
E' chiaro ma io continuo a non aver fiducia in ciò: uno script nemmeno?
scusa eh, il browser è un programma che gira su un altro computer e tu non sei convinto del fatto che possa fare un po' come cazzo gli pare?!?
Non lo so, vogliamo installare un trojan per controllarlo?
No, molto spesso basta un JavaScript... ad esempio con un JavaScript riesco a spedire il cookie relativo ad un dominio A anche fuori dallo stesso (prendilo come esempio, era solo per analogia) .
Quindi: perchè non potrebbe esistere qui? Il JS "modifica" le proprietà del browser e delle sue pagine. Il REFERER non può esser visto una proprietà dela pagina?
Secondo me qualcosa esiste... in un modo o nell'altro... ehm... ehmm... forse...
:master:
Stai scherzando?Originariamente inviato da mark2x
No, molto spesso basta un JavaScript... ad esempio con un JavaScript riesco a spedire il cookie relativo ad un dominio A anche fuori dallo stesso (prendilo come esempio, era solo per analogia
E il browser quanto ci mette a farti una pernacchia?
Il javascript fa quello che il browser GENTILMENTE gli concede di fare.Quindi: perchè non potrebbe esistere qui? Il JS "modifica" le proprietà del browser e delle sue pagine. Il REFERER non può esser visto una proprietà dela pagina?
Secondo me qualcosa esiste... in un modo o nell'altro... ehm... ehmm... forse...
:master:
Sul mio browser ad esempio il javascript non si permette di cambiare il contenuto della status bar, anche se ha le istruzioni per farlo.
Se ho l'estensione per modificare il referrer, puoi fare tutti i giri che vuoi in javascript, che tanto poi uscirà il referrer che ho deciso io.
Mi sembra tipo quella sul bloccare il tasto destro del mouse...
Non ti fa proprio nulla. Il contenuto del biscottino lo appendi in querystring in una redirezione automatica scaturita dalla visualizzazione di un'immagine, ad esempio (e non ho nemmeno scomodato JS...)(al posto del contenuto di img inserisci l'url di redirezione, quindi il browser fa a tutti gli effetti una richiesta HTTP). Non è poi così difficile...Originariamente inviato da skidx
Stai scherzando?
E il browser quanto ci mette a farti una pernacchia?
A meno che la pernacchia non sia un'immagine mancata. Un po' poco per accorgersene.
Su questo non ci piove: bisogna vedere QUANTO è gentile. O quanto è stupido. Tutto lì.Il javascript fa quello che il browser GENTILMENTE gli concede di fare.
Ora sono curioso.Originariamente inviato da mark2x
Non ti fa proprio nulla. Lo appendi in querystring in una redireziona automatica scaturita dalla visualizzazione di un'immagine, ad esempio (e non ho nemmeno scomodato JS...)(al posto del contenuto di img inserisci l'url di redirezione, quindi il browser fa a tutti gli effetti una richiesta HTTP). Non è poi così difficile...
A meno che la pernacchia non sia un'immagine mancata. Un po' poco per accorgersene.
Cosa ci appendi nella querystring per poter generare questo cookie "remoto"?
Ehm... No. Forse non ci siamo intesi... non genero proprio nulla. Invio. Ma era un esempio, non credo dobbiamo soffermarci su questo. O si?Originariamente inviato da skidx
Cosa ci appendi nella querystring per poter generare questo cookie "remoto"?
[Cmq parlo del principio dei CSRF, nella fattispecie]
Permessi di invio
Rispondi quotando