Witam

Chciałbym się dowiedzieć jak oceniacie bezpieczeństwo stosowania xajaxa lub httpresponse (get i post) w „administracji CMS”. Rozumiem to tak, że na serwerze wystawiam sobie jakąś stronę/skrypt w php który reaguje na zadania przesłane przez ajaxa (w adresie lub jako ukryte pola), a rezultat wyrzuca jako wynik do html-a. Istnieje przecież prosty sposób na podejrzenie takiego przesyłania (np. firebug w firefoxie), wtedy nie trzeba się logować tylko wysłać na „wystawioną stronę” odpowiednie zapytanie i możemy udawać admina. Co stosujecie, aby uwiarygodnić użytkownika przesyłającego ważne dane przez ajaxa (sprawdzic czy jest juz zalogowany, jakie ma prawa etc)

XMLHttpRequest wysyla tez cookie na podstawie ktorego mozna po stronie serwera sprawdzic czy uzytkownik jest zalogowany i ma prawa do wykonania danej akcji.

Co do podmiany danych i wysylania swoich podstawionych ... normalna strone www tez mozna zapisac na dysku, podmienic wartosci i wyslac tak wiec nie ma znaczenia czy bedzie to przeslane postem przez przegladarke czy XMLHttpRequest, curl czy inne..
U siebie sprawdzam po stronie serwera czy sesja jeszcze nie wygasla i czy user ma prawo do wykonania akcji, potem filtruje wejscie, wykonuje akcjie i wysylam zaJsonowany status OK albo NIEOK albo cokolwiek chce sobie odebrac i na podstawie tego decyduje czy wyswietlic komunikat o sukcesie wykonania akcji czy moze usera do strony logowania przeslac

O tym cookie to nie wiedziałem.
Teraz to życie powino być łatwiejsze.
Dzięki za szybką pomoc.

http://www.owasp.org/index.php/Ajax_and_Ot...ce_Technologies :-)