Avatar billede sukos Juniormester
28. juni 2005 - 23:07 Der er 16 kommentarer og
2 løsninger

http_referer, findes eller findes ikke ?

Der er noget med man ikke altid kan stole på HTTP_REFERER
Hvordan det???
Avatar billede sukos Juniormester
28. juni 2005 - 23:07 #1
Eksempler på at det ikke virker, er faktisk spm.! :O)
Avatar billede barklund Nybegynder
28. juni 2005 - 23:12 #2
Hvis jeg skriver google.dk i min browser, så sender den ingen referer med.

Hvis jeg åbner en side via en lidt mere teknisk "browser" (såsom curl), så kan jeg sende en vilkårlig referer med til siden.

Hvis jeg åbner en rå socket connection kan jeg sende stort set hvad som helst til serveren - men den bliver højst sandsynligt bare sur.

Der findes sikkert også lokale proxier (såsom proximitron), der kan indstilles til, at du aldrig sender http_referer med til nogle sider - ligemeget hvem du snakker med. Jeg ved ikke hvorfor man ville indstille det, men man kan sikkert.

Du kan nok ikke bruge referer til at basere sikkerhed på - man kan fake det, hvis man vil. Men helt almindelig site-navigation og tilsvarende er fint nok - bare du håndterer, at den muligvis ikke findes.

--
Morten Barklund
Avatar billede ksoren Nybegynder
28. juni 2005 - 23:12 #3
1) Jeg har slået denne feature fra i min browser
2) Sidder bag en proxy som filterer denne header
Avatar billede dennismp Nybegynder
28. juni 2005 - 23:14 #4
Det er jo browseren der sender http-referer med, og af princip kan man jo ikke stole på at det er en rigtigt det browseren sender. I de fleste tilfælde vel det være rigtigt, men hvis man vil bryde sikkerheden så er det jo ikke svært at rette sin klient til at sende en anden http-referer med, eller bruge nogle af de proxies hvor man kan få den til at ændre headers.

Som du måske ved så virker en alm request ved
GET / HTTP/1.0
Host: www.ditsite.dk

Referer er på samme både
GET / HTTP/1.0
Host: www.ditsite.dk
Referer: internal.fbi.gov/adult/erotica

Det skulle ikke være så svært at starte en klient op, og så vil du se folk der kommer fra fbi's skumle forums når de besøger din side :)
Avatar billede sukos Juniormester
28. juni 2005 - 23:17 #5
Der mangler vist kun nogle svar! :O)
Avatar billede barklund Nybegynder
28. juni 2005 - 23:19 #6
Mjææs - et skævt et af slagsen fra mig :)
Avatar billede dennismp Nybegynder
28. juni 2005 - 23:21 #7
Hvad er dit site, kender nogle fbi folk der kender vil besøge dig :-)
Avatar billede coderdk Praktikant
28. juni 2005 - 23:24 #8
Du kan tilmed få et firefox plugin hvor du selv kan sætte denne header. Dette kaldes også referer spam ;) Man kan rent faktisk promovere sit site ved at sætte det som referer på alle sider man besøger ;)
Avatar billede sukos Juniormester
28. juni 2005 - 23:26 #9
Det er ikke mit site, men en snak om hvorvidt man kunne stole på http_referer, og havde hørt tusind gange man ikke kunne på den, men har aldrig selv bekrymret mig om at den, så jeg kunne ikke lige komme med ex. på hvordan og hvorledes!
Avatar billede sukos Juniormester
28. juni 2005 - 23:27 #10
haha :O) coder.dk,
du må lige smide et svar også! :O)
Avatar billede coderdk Praktikant
28. juni 2005 - 23:29 #11
Nej tak du, bare giv til de andre :)
Avatar billede ksoren Nybegynder
28. juni 2005 - 23:31 #12
Det er også set, at den er blevet brugt til at hacke med. F.eks. hvis et site smider den i en database uden kontrol, så er der mulighed for sql injection
Avatar billede sukos Juniormester
28. juni 2005 - 23:32 #13
ok, ksoren, smid lige svar også
Avatar billede trasherdk Nybegynder
28. juni 2005 - 23:59 #14
ksoren: Har du et eksempel paa SQL injection?
Avatar billede coderdk Praktikant
29. juni 2005 - 00:03 #15
Avatar billede sukos Juniormester
29. juni 2005 - 20:23 #16
Der var kun to svar, men jeg blev klogere! :O)
Takker!!! Alle!
Avatar billede sukos Juniormester
29. juni 2005 - 20:23 #17
Hov, forkert submit!
Avatar billede barklund Nybegynder
30. juni 2005 - 10:12 #18
Well, tark for points :)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Vi tilbyder markedets bedste kurser inden for webudvikling

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester