שמירה בשם במקום תצוגת תמונות
-
@yossiz אמר בשמירה בשם במקום תצוגת תמונות:
@zvinissim איזה בלגן? של חור האבטחה? אתה יושב ככה בארמון שלך מרגיש בטוח כאשר בכל רגע הכל יכול להתפוצץ? מה איתך?
בקיצער, כמה אתה מכיר טכנולוגיות ווב?
יש מה שנקרא קוקיס (עוגיות), באמצעותם האתר מזהה אותך (כן, אני מתכוון לך אישית) כמישהו עם הרשאות להעביר פוסטים ממקום למקום.
יש מה שנקרא javascript שזה סקריפט שרץ בתוך הדף, לסקריפט יש גישה לכספת העוגיות ששייכות לאותו אתר.
אם נגיד, מותר לי (yossiz) להעלות דף HTML שייפתח בדפדפן, ואם נגיד אני ארצה להיות רשע, אז הייתי יכול להעלות דף שכולל בתוכו סקריפט שיגנוב את העוגיות ממך ויעבירם אלי. ברגע שאתה פותח את הדף, הסקריפט רץ בדפדפן שלך, גונב את העוגיות, מעביר אותם לשרת שלי, ואז כמו שאומרים, זה game over.ברור?
@yossiz את העוגיות הבנתי רק עם כוס חלב בצד
רציני
עכשיו הבנתי את הענין
אבל באותה מידה לא חייב שזה יהיה דף אינטרנט אלא אפילו תמונה שנפתחת בכרטסיה נפרדת לא? -
הבעיה כעת סודרה, לכאורה.
הייתה בעיה רצינית שמי שהעלה html, הקובץ היה נפתח לתצוגה בדפדפן ולא להורדה.
למה זה בעיה? ההסבר של @יוסף-בן-שמעון ו @yossiz מסביר את הרקע אבל לא לגמרי מדייק.
העוגיות של הדפדפן הם אלה שגורמות לכך שהאתר מזהה אותי כמי שלפני תקופה שמתי שם וסיסמה ומכח זה הגולש יכול לגשת לאיזור אישי שלו דיקא, או כמנהל לאיזור ניהול וכו'
כעת כל זה קורה במחשב הגולש שאכן הזין את השם והסיסמה הנכונים. אז עד כאן הכל בסדר.
עכשיו התוקף יכול לבנות דף HTML ולהעלות אותו לפורום תוך עידוד פתיחתו ("מה דעתכם על העיצוב"), ושמה בדף הוא יכתוב קוד JS שלוקח את התוכן של העוגיות ולאחמ"כ לשלוח למקום שידוע לו. לזה קוראים גניבת עוגיות - אבל החשש הזה לא היה קיים במקרה שלנו! כי העוגיות על מצב http only = אין גישה לJS.
אז מה כן החשש? פשוט מאוד - כותב הדף הHTML, ינסה בקוד הJS לגנוב מידע במקום לגנוב עוגיות. למשל הוא ייגש למייל של הגולש הנתקף שמוסתר לכולם (וזה זכות הקוד של הJS לגשת למידע זה שהרי הוא רץ במחשב של המשתמש הרלוונטי) ולחמ"כ לשלוח אותו לשרת של התוקף'.
ב"ה פתרתי את זה בעזרת @magicode ע"י הוספת ההידר Content-Disposition 'attachment;' זה גורם לכך שהדפדפן יתייחס לקבצים כקבצי הורדה ולא יציג אותם. כך מחשב הנתקף מוגן מגניבה, כי הקוד שבדף לא ירוץ במחשב שלו, ופרטיו לא ייגנבו.מנטור אישי למתכנתים (ולא רק) – להתקדם לשלב הבא!
בכל נושא אפשר ליצור קשר dovid@tchumim.com
-
-
-
@dovid אמר בשמירה בשם במקום תצוגת תמונות:
כי העוגיות על מצב http only = אין גישה לJS.
אוקיי, למדתי משהו שלא כ"כ הכרתי
אז מה כן החשש? פשוט מאוד - כותב הדף הHTML, ינסה בקוד הJS לגנוב מידע במקום לגנוב עוגיות. למשל הוא ייגש למייל של הגולש הנתקף שמוסתר לכולם
האם היה אפשרות ליצור פוסטים בשם המשתמש?
-
@zvinissim אמר בשמירה בשם במקום תצוגת תמונות:
אבל באותה מידה לא חייב שזה יהיה דף אינטרנט אלא אפילו תמונה שנפתחת בכרטסיה נפרדת לא?
לא, כי בתמונה הדפדפן נטו מציג תוכן, ולא מריץ קוד כפי שהוא עושה בדף אינטרנט עם JavaScript.
