witam
dotychczas myslalem, ze jak cos jest zapisane na stronie to nie mozna tego zmieniac, ani probowac wykorzystać w niepowołany sposób. niestety firebug bardzo szybko pokazał mi jak bardzo się myliłem. Teraz jakiekolwiek zadania po stronie klienta można w bardzo nieciekawy sposób zmieniać. głównie obawiam sie javascript,ajax i wszelakich zmian/atakow na nie. kazdy kto tylko chce moze zmieniac kod i sprawdzac jak reaguje strona, az w koncu dojdzie do tego w jaki sposob mozna zaszkodzic.
znacie moze jakies informacje na temat jak sobie radzic z czyms takim ? w jaki sposob najlepiej pisac skrypty, aby staly sie odporne na tego typu zagrania ? czy moze nie trzeba sie tym przejmowac, poniewaz to sa tylko zmiany i bledy po stronie klienta, a cala baza strony oraz pliki nie sa naruszane ?
Pełna wersja: [JavaScript] Manipulacje firebug
Cytat(kkuubbaa88 @ 23.07.2010, 13:18:18 ) 
w jaki sposob najlepiej pisac skrypty, aby staly sie odporne na tego typu zagrania ?
Bezpieczeństwo tworzonych aplikacji stawiaj na pierwszy miejscu. Sprawdzaj nie tylko dane wprowadzane przez użytkowników w polach (np. input type=text), ale i dane pozornie bezpieczne (np. wybór z listy select). W skrócie: nie ufaj użytkownikom!
Cytat(kkuubbaa88 @ 23.07.2010, 13:18:18 )
czy moze nie trzeba sie tym przejmowac, poniewaz to sa tylko zmiany i bledy po stronie klienta, a cala baza strony oraz pliki nie sa naruszane ?
Jak najbardziej jest to realne zagrożenie. Musisz to przewidzieć.
Firebug działa po stronie klienta. Jedyne co może Ci "zaszkodzić" to znajomość struktury, tego co i jak działa, czyli krótko mówiąc - mechaniki strony. Koleś przeanalizuje co jak działa i zacznie się bawić w preparowanie danych by trafić na lukę, niezabezpieczone miejsce, które pozwoli mu uzyskać dostęp do nie swoich danych na serwerze. Przykład? Usunięcie z poziomu panelu swojego posta. Większość ludzi pisząc daje coś prostego w stylu delete.php?id=132 i ok.. Ale ilu z nich pisząc skrypt sprawdza nie tylko prawidłowość id (liczba dodatnia), ale także prawa dostępu do posta. Przecież można usunąć post kogoś innego, bo nigdzie nie sprawdzono kto jest autorem. To błędy wynikające z bardzo ograniczonego podejścia do manipulacji danymi. Firebug sam w sobie nie jest niebezpieczny. Robi się jednak taki w doświadczonych rękach.
I tak. Phpion ma rację. Wszystko co idzie od usera to dane potencjalnie niebezpieczne, spreparowane przez niego. Jak wspomniał już poprzednik, value dla select można przecież podmienić, a tę kontrolkę akurat mało kto sprawdza z początkujących. Sytuacja komplikuje się także przy polach typu file, z którymi wielu nie wie jak się nawet obchodzić poprawnie, a co dopiero mówić o zabezpieczaniu.
I tak. Phpion ma rację. Wszystko co idzie od usera to dane potencjalnie niebezpieczne, spreparowane przez niego. Jak wspomniał już poprzednik, value dla select można przecież podmienić, a tę kontrolkę akurat mało kto sprawdza z początkujących. Sytuacja komplikuje się także przy polach typu file, z którymi wielu nie wie jak się nawet obchodzić poprawnie, a co dopiero mówić o zabezpieczaniu.
filtrowane mam wszystkie dane jak leciu input,text,radio,chechbox,textarea - po stronie serwera przez php, regularne wyrazenia + funkcje bezpieczenstwa. dlatego baza danych jest razcej bezpieczna.
problem, a dokladnie niepewnosc jest przy skryptach, ktore sprawiaja, ze strona jest bardziej ciekawa. jakies przejscia w ajaxie, slideshow zdjec, czy tez dynamiczne tresci (innerhtml). caly kod jest jak na dloni w plikach, ktore mozna edytowac za pomoca firebuga, co mnie wlasnie bardzo martwi.
przykladowo pobieranie obiektu po jego id bylo kiedy wg.mnie bezpieczne, poniewaz sam wpisalem id oraz funkcje, ktore teraz jak sie okazuje mozna zmienic. wystarczy w firebugu zmienic id, lub w plik js i juz sa bledy na stronie. jak wlasnie tego uniknac ?
problem, a dokladnie niepewnosc jest przy skryptach, ktore sprawiaja, ze strona jest bardziej ciekawa. jakies przejscia w ajaxie, slideshow zdjec, czy tez dynamiczne tresci (innerhtml). caly kod jest jak na dloni w plikach, ktore mozna edytowac za pomoca firebuga, co mnie wlasnie bardzo martwi.
przykladowo pobieranie obiektu po jego id bylo kiedy wg.mnie bezpieczne, poniewaz sam wpisalem id oraz funkcje, ktore teraz jak sie okazuje mozna zmienic. wystarczy w firebugu zmienic id, lub w plik js i juz sa bledy na stronie. jak wlasnie tego uniknac ?
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.