דילוג לתוכן
  • דף הבית
  • קטגוריות
  • פוסטים אחרונים
  • משתמשים
  • חיפוש
  • חוקי הפורום
כיווץ
תחומים

תחומים - פורום חרדי מקצועי

💡 רוצה לזכור קריאת שמע בזמן? לחץ כאן!
  1. דף הבית
  2. על הפורום
  3. רשימת הצעות, בקשות ודיווח באגים
  4. שמירה בשם במקום תצוגת תמונות

שמירה בשם במקום תצוגת תמונות

מתוזמן נעוץ נעול הועבר רשימת הצעות, בקשות ודיווח באגים
24 פוסטים 5 כותבים 897 צפיות 3 עוקבים
  • מהישן לחדש
  • מהחדש לישן
  • הכי הרבה הצבעות
תגובה
  • תגובה כנושא
התחברו כדי לפרסם תגובה
נושא זה נמחק. רק משתמשים עם הרשאות מתאימות יוכלו לצפות בו.
  • dovidD dovid

    ביקשתי לינק או תמונה.
    אולי זה משאב שנכנסת אליו לפני כן ואז המטמון שומר גם את הכותרות (headers).

    מלאמ מנותק
    מלאמ מנותק
    מלא
    כתב ב נערך לאחרונה על ידי
    #21

    @dovid
    זה היה בכל התמונות של האשכול ההוא כמו שכתבתי...

    אמרת שזה מטמון,
    עשיתי רענון עמוק 'ריקון המטמון וכו' ואכן סודר...

    תגובה 1 תגובה אחרונה
    1
    • dovidD dovid

      הבעיה כעת סודרה, לכאורה.
      הייתה בעיה רצינית שמי שהעלה html, הקובץ היה נפתח לתצוגה בדפדפן ולא להורדה.
      למה זה בעיה? ההסבר של @יוסף-בן-שמעון ו @yossiz מסביר את הרקע אבל לא לגמרי מדייק.
      העוגיות של הדפדפן הם אלה שגורמות לכך שהאתר מזהה אותי כמי שלפני תקופה שמתי שם וסיסמה ומכח זה הגולש יכול לגשת לאיזור אישי שלו דיקא, או כמנהל לאיזור ניהול וכו'
      כעת כל זה קורה במחשב הגולש שאכן הזין את השם והסיסמה הנכונים. אז עד כאן הכל בסדר.
      עכשיו התוקף יכול לבנות דף HTML ולהעלות אותו לפורום תוך עידוד פתיחתו ("מה דעתכם על העיצוב"), ושמה בדף הוא יכתוב קוד JS שלוקח את התוכן של העוגיות ולאחמ"כ לשלוח למקום שידוע לו. לזה קוראים גניבת עוגיות - אבל החשש הזה לא היה קיים במקרה שלנו! כי העוגיות על מצב http only = אין גישה לJS.
      אז מה כן החשש? פשוט מאוד - כותב הדף הHTML, ינסה בקוד הJS לגנוב מידע במקום לגנוב עוגיות. למשל הוא ייגש למייל של הגולש הנתקף שמוסתר לכולם (וזה זכות הקוד של הJS לגשת למידע זה שהרי הוא רץ במחשב של המשתמש הרלוונטי) ולחמ"כ לשלוח אותו לשרת של התוקף'.
      ב"ה פתרתי את זה בעזרת @magicode ע"י הוספת ההידר Content-Disposition 'attachment;' זה גורם לכך שהדפדפן יתייחס לקבצים כקבצי הורדה ולא יציג אותם. כך מחשב הנתקף מוגן מגניבה, כי הקוד שבדף לא ירוץ במחשב שלו, ופרטיו לא ייגנבו.

      yossizY מנותק
      yossizY מנותק
      yossiz
      כתב ב נערך לאחרונה על ידי
      #22

      @dovid אמר בשמירה בשם במקום תצוגת תמונות:

      כי העוגיות על מצב http only = אין גישה לJS.

      אוקיי, למדתי משהו שלא כ"כ הכרתי

      אז מה כן החשש? פשוט מאוד - כותב הדף הHTML, ינסה בקוד הJS לגנוב מידע במקום לגנוב עוגיות. למשל הוא ייגש למייל של הגולש הנתקף שמוסתר לכולם

      האם היה אפשרות ליצור פוסטים בשם המשתמש?

      📧 יוסי@מייל.קום | 🌎 בלוג | ☕ קפה

      dovidD תגובה 1 תגובה אחרונה
      1
      • yossizY yossiz

        @dovid אמר בשמירה בשם במקום תצוגת תמונות:

        כי העוגיות על מצב http only = אין גישה לJS.

        אוקיי, למדתי משהו שלא כ"כ הכרתי

        אז מה כן החשש? פשוט מאוד - כותב הדף הHTML, ינסה בקוד הJS לגנוב מידע במקום לגנוב עוגיות. למשל הוא ייגש למייל של הגולש הנתקף שמוסתר לכולם

        האם היה אפשרות ליצור פוסטים בשם המשתמש?

        dovidD מחובר
        dovidD מחובר
        dovid
        ניהול
        כתב ב נערך לאחרונה על ידי
        #23

        @yossiz אמר בשמירה בשם במקום תצוגת תמונות:

        האם היה אפשרות ליצור פוסטים בשם המשתמש?

        לדף ברור שיש, איך לא יהיה לו, אבל לתוקף אין אפשרות (מעבר לרגעים בהם המשתמש בדף וגם אז זה עם תקשורת מול שרת שיש לו הוראות מראש).

        • מנטור אישי בתכנות והמסתעף – להתקדם לשלב הבא!
        • בכל נושא אפשר ליצור קשר dovid@tchumim.com
        תגובה 1 תגובה אחרונה
        2
        • zvinissimZ zvinissim

          @yossiz אמר בשמירה בשם במקום תצוגת תמונות:

          @zvinissim איזה בלגן? של חור האבטחה? אתה יושב ככה בארמון שלך מרגיש בטוח כאשר בכל רגע הכל יכול להתפוצץ? מה איתך?

          בקיצער, כמה אתה מכיר טכנולוגיות ווב?
          יש מה שנקרא קוקיס (עוגיות), באמצעותם האתר מזהה אותך (כן, אני מתכוון לך אישית) כמישהו עם הרשאות להעביר פוסטים ממקום למקום.
          יש מה שנקרא javascript שזה סקריפט שרץ בתוך הדף, לסקריפט יש גישה לכספת העוגיות ששייכות לאותו אתר.
          אם נגיד, מותר לי (yossiz) להעלות דף HTML שייפתח בדפדפן, ואם נגיד אני ארצה להיות רשע, אז הייתי יכול להעלות דף שכולל בתוכו סקריפט שיגנוב את העוגיות ממך ויעבירם אלי. ברגע שאתה פותח את הדף, הסקריפט רץ בדפדפן שלך, גונב את העוגיות, מעביר אותם לשרת שלי, ואז כמו שאומרים, זה game over.

          ברור?

          @yossiz את העוגיות הבנתי רק עם כוס חלב בצד

          רציני
          עכשיו הבנתי את הענין
          אבל באותה מידה לא חייב שזה יהיה דף אינטרנט אלא אפילו תמונה שנפתחת בכרטסיה נפרדת לא?

          dovidD מחובר
          dovidD מחובר
          dovid
          ניהול
          כתב ב נערך לאחרונה על ידי
          #24

          @zvinissim אמר בשמירה בשם במקום תצוגת תמונות:

          אבל באותה מידה לא חייב שזה יהיה דף אינטרנט אלא אפילו תמונה שנפתחת בכרטסיה נפרדת לא?

          לא, כי בתמונה הדפדפן נטו מציג תוכן, ולא מריץ קוד כפי שהוא עושה בדף אינטרנט עם JavaScript.

          • מנטור אישי בתכנות והמסתעף – להתקדם לשלב הבא!
          • בכל נושא אפשר ליצור קשר dovid@tchumim.com
          תגובה 1 תגובה אחרונה
          5
          תגובה
          • תגובה כנושא
          התחברו כדי לפרסם תגובה
          • מהישן לחדש
          • מהחדש לישן
          • הכי הרבה הצבעות


          • 1
          • 2
          בא תתחבר לדף היומי!
          • התחברות

          • אין לך חשבון עדיין? הרשמה

          • התחברו או הירשמו כדי לחפש.
          • פוסט ראשון
            פוסט אחרון
          0
          • דף הבית
          • קטגוריות
          • פוסטים אחרונים
          • משתמשים
          • חיפוש
          • חוקי הפורום