Разработка динамических сайтов
SEO услуги
Управление контекстной рекламой

Вход на хостинг

Имя пользователя:*

Пароль пользователя:*

IT-новости

20.04.2016 iPhone 2017 года поместят в водонепроницаемый корпус из стекла

Линейка iPhone в новом году серьезно поменяется. В этом уверен аналитический исследователь Мин Чи Ку......

подробнее

30.07.2015 Ищем уникальный контент для сайта

Ищем уникальный контент для сайта Без уникального контента Ваш сайт обречен на то, что его страницы......

подробнее

11.05.2015 Распространённые ошибки разработчиков сайтов

Не секрет, что в сети Интернет насчитывается миллионы сайтов, и каждый день появляются тысячси новых......

подробнее

Данные проблемы ставят перед нами задачу. Оказывается, анонимные пользователи так же должны иметь сессии, их аутентификация происходит лишь по номеру сессии, который закреплен за IP-адрес. Это исключит DoS, но не DoS-атаки. Каждая сессия по своему завершению должна удалять временные файлы. Вообще было бы правильнее получать только те данные, которые мы запрашивали и именно того объема, который мы хотим.

Если на сервере используется правильный обработчик MIME, то последствия вообще сложно предсказать, потому как стандарт MIME предусматривает много каких вещей. Именно поэтому приходящие формы советую обрабатывать несложными алгоритмами уже упомянутых проектов. Кстати, cgi-lib так же неплох в этом отношении. Как вы понимаете, в данные стандарты заложена ошибка. Стандарт MIME предназначен для почтовых сообщений, а включение его в POST-ответы принесет немало бед, некоторые из них нам уже показала malware.com.

Хочется обратить ваше внимание на еще одну проблему, связанную с UNICODE и, собственно, Mozilla-браузером. Как известно, с настройками по умолчанию Mozilla отправляет данные формы в UNICODE, что значительно увеличивает объем данных. Тут проблемы вовсе неразрешимы средствами стандартов, так как однозначное определение UNICODE невозможно, потому как нет идентифицирующих UNICODE параметров нигде. Точнее, их может не быть. Анализировать приходящие данные на UNICODE нельзя, потому как нельзя будет избежать ошибок, а значит увеличится вероятность взлома. Рассмотрим пример содержимого POST от Mozilla:

-----------------------------41184676334

Content-Disposition: form-data; name="login"

 

AAABBBCCCАААБББВВВ  

-----------------------------41184676334--

Подобное содержимое должно преобразоваться из UNICODE, после чего пройти все фильтры по критичным символам и длине данных, но, как я и написал, однозначно нельзя определить UNICODE, поэтому входящие данные будут скорее испорчены. На этой оптимистической ноте я и хотел бы закончить свой рассказ о подводных камнях аутентификации через WEB.


Предыдущая страницаОглавлениеСледующая страница
 
[001] [002] [003] [004] [005] [006] [007] [008] [009] [010] [011] [012] [013] [014] [015] [016] [017] [018] [019] [020]
[021] [022] [023] [024] [025] [026] [027] [028] [029] [030] [031] [032] [033] [034] [035] [036] [037] [038] [039] [040]
[041] [042] [043] [044] [045] [046] [047] [048] [049] [050] [051] [052] [053] [054] [055] [056] [057] [058] [059] [060]
[061] [062] [063] [064] [065] [066] [067] [068] [069] [070] [071] [072] [073] [074] [075] [076] [077] [078] [079] [080]
[081] [082] [083] [084] [085] [086] [087] [088] [089] [090] [091] [092] [093] [094] [095] [096] [097] [098] [099] [100]
[101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120]
[121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140]
[141] [142] [143] [144] [145] [146] [147] [148]

+7 (831) 413-63-27
ООО Дельта-Технология ©2007 - 2023 год
Нижний Новгород, ул. Дальняя, 17А.
Rambler's Top100