Ajax sicurezza DOS and IE .............

[whisher]

Ciao.
Leggo nel MDC di FF:

Per ragioni di sicurezza, non è possibile chiamare pagine che si trovino su un dominio differente da quello in cui si trova la pagina corrente.

quindi non ci dovrebbero essere problemi di attacchi
del genere :

setInterval("sendRequest('http://www.sitovittima.com/pagina.php');",2*1000);

Ho notato che FF e Opera se in uno script c'è una
chiamata esterna al sito in cui risiede lo script da questo errore

uncaught exception:Permission denied to call method XMLHttpRequest.open

Mentre IE lancia un alert con:

Le informazioni a cui si sta accedendo non sono controllabili ....

e danno si effettua la Request.
Ho trovato anche questo
articolo in cui si parla appunto di DOS con ajax.

Mi piacerebbe conoscere il Vs parere in proposito.

[whisher]

Ho trovato anche questo
articolo in cui si parla appunto di DOS con ajax.

Ma se non è possibile chiamare pagine che si trovino su un dominio differente
non vedo cosa ci incastra.

[Mega69]

In effetti "eludere" ajax e fargli aprire pagine esterne è una sciocchezza. Basta aprire questo file:
<?php include("http://www.google.it"); ?>

E al contrario dei frame, non c'è un modo semplice per evitare che la propria pagina venga inclusa.

In sintesi l'articolo dice che per saturare un server basta fare un setInterval, il quale fa una richiesta ajax sempre alla stessa pagina.

Un metodo per "difendersi" potrebbe essere quello di dare alle nostre immagini e ai file esterni sempre e solo path relativi, mai assoluti, in questo modo si evita il traffico anche di questi file. Peccato che un cracker abbastanza esperto può benissimo accedere all'immagine e cambiarne il path, ma in ogni caso potrà farlo solo dopo aver caricato la pagina e non contemporaneamente.

Oppure possiamo controllare il dominio con php, e nel caso non corrisponda ad esempio con "http://www.html.it" non visualizzare niente.

[whisher]

In effetti "eludere" ajax e fargli aprire pagine esterne è una sciocchezza. Basta aprire questo file:
<?php include("http://www.google.it"); ?>

In questo modo non puoi avere accesso all'url
di conseguenza non puoi passare valori ne con get
ne con post o avere accesso alla struttura della
pagina anche usando al posto di include file_get_contents.

[Mega69]

Originariamente inviato da whisher
In questo modo non puoi avere accesso all'url
di conseguenza non puoi passare valori ne con get
ne con post o avere accesso alla struttura della
pagina anche usando al posto di include file_get_contents.

Le variabili post non si possono conoscere, ma se provi ad includere http://www.google.it/search?q=html ti manda alla pagina esatta con la ricerca su html!


Tra qualche lamer che vuole fare un attacco DOS, ci sarà sicuramente qualcuno che sa che le variabili get sono dopo il ?

Con post diventa tutto più complicato... Ora non mi viene in mente, ma ci sarà credo, un modo per mandare dati post a una pagina esterna. Non credo si possa fare con send di javascript.

Comunque,
quasi certamente esiste qualche impostazione del file .htaccess che permette di risolvere il problema alla radice.

EDIT: forse tu ti riferivi alla soluzione, non alla riga citata da te...

[whisher]

Le variabili post non si possono conoscere, ma se provi ad includere http://www.google.it/search?q=html ti manda alla pagina esatta con la ricerca su html!


Tra qualche lamer che vuole fare un attacco DOS, ci sarà sicuramente qualcuno che sa che le variabili get sono dopo il ?

Era chiaro che mi riferivo ad ajax !

Con post diventa tutto più complicato... Ora non mi viene in mente, ma ci sarà credo, un modo per mandare dati post a una pagina esterna. Non credo si possa fare con send di javascript

Con ajax puoi inviare sia dati via get che post !

[whisher]

A volte è meglio andare alla fonte

Hello Wisher,

Thank you for the kind comments on my AJAX article. I’m glad you liked it. Concerning your question, you’re correct. If you use Firefox, its security model won’t let you trigger cross-domain requests. However, IE 6 will only display a warning in that case, and let you choose what to do. This could be used to send unwanted requests to many sites or even simulate genuine form submissions.
Also, there are a few other techniques to send http requests, like JavaScript boot loaders, but it’s a bit more complex than using AJAX.
Again, thank you for your comments and Season's Greetings to you.

Alejandro Gervasio

Era proprio quello che stavo cercando.