Очень "мудро"

Sanja v.2 10.03.2006 17:48 / 10.03.2006 17:50

Предположим, вы так "защищаете" посещаемый форум. И при каждом открытии страницы посетителем вы тащите к себе картинку и меряете её.

Очевидная проблема - я вам в форум пишу <img src="http://www.kernel.org/pub/dist/knoppix-dvd/KNOPPIX_V4.0.2DVD-2005-09-23-DE.iso"> и парсер пытается качнуть трёхгигабайтный файл к себе. Через полминуты его по таймауту пристрелят, но за это время он успеет качнуть мегабайт шестьдесят. И так на каждый pageview. Угадайте, когда хостер прикроет ваш сайт "до выяснения"?

Вторая проблема - я, хакер, размещаю у вас ссылку <img src="http://example.com/pic.gif">. То, что выглядит картинкой - на самом деле скрипт, который, если в User-agent стоит "Parser", выдаёт изображение смайлика, a если в User agent присутствует "MSIE" - то страшный и ужасный жабаскрипт. Вы считаете картинку безопасной, а я ворую кукисы у ваших посетителей.

Антиспам - антискрипт, TLoD,Snake 10.03.2006 16:58
- растолкуйте дураку, где тут собака-то?, Александр Петросян (PAF) [M] 11.03.2006 23:26 / 11.03.2006 23:28
- даже если там не Javascript, Sergey M. 11.03.2006 14:37
  - С внешним редиректом можно подробней?, TLoD,Snake 12.03.2006 20:06
    - есть статья про это дело, Sergey M. 12.03.2006 21:08
      - класс! всем рекомендую пойти и почитать, Александр Петросян (PAF) [M] 14.03.2006 22:46
        проверка форума, R. Averkov [M] 15.03.2006 08:42 / 15.03.2006 08:42
- Ответ, pa1n 10.03.2006 17:21
  - Очень "мудро", Sanja v.2 [M] 10.03.2006 17:48 / 10.03.2006 17:50
    - попробовал - работает. ахренеть..., Misha v.3 [M] 13.03.2006 21:46
      - отбой, ни фига не передается :), Misha v.3 [M] 14.03.2006 14:35
      - пришел спам, Denis Arkhipov 14.03.2006 13:39
        это-то тут причем? спамили всегда. (-), Misha v.3 [M] 14.03.2006 13:46
      - Пора в путь-дорогу..., AleXp 13.03.2006 23:23 / 13.03.2006 23:24
      - А вот другой тип:, Sanja v.2 [M] 13.03.2006 22:49 / 13.03.2006 22:52
      - http://en.wikipedia.org/wiki/XSS#Type_2 (-), Sanja v.2 [M] 13.03.2006 22:33
    - Большое спасибо за открытие глаз (-), R. Averkov [M] 11.03.2006 03:09
    - Ответ, pa1n 10.03.2006 19:10
- Ответ, Sanja v.2 [M] 10.03.2006 17:10
  - Как бы это пользователям объяснить, TLoD,Snake 10.03.2006 22:15
    - из мира HTML, TLoD,Snake 10.03.2006 23:42
      - Загляните в спецификацию HTML, G_Z [M] 11.03.2006 00:27
        Может как еще извернуться?, TLoD,Snake 11.03.2006 14:02
    - тогда придумавайте другие объяснения:, Misha v.3 [M] 10.03.2006 23:24
- ^try{^image::measure[]}{Вася хакер}, R. Averkov [M] 10.03.2006 17:07 / 10.03.2006 17:07
  - Ответ, TLoD,Snake 10.03.2006 22:13

Новости	FAQ	Авторы	Документация	В действии	Библиотека
Инструменты	Полезные ссылки	Хостинги	Скачать	Примеры	Форум