gorrc
26-05-2008, 19:44
Dali sa sigurnosne strane ima kakve koristi od ostavljanja potpisa na pojedine dijelove stranice ili aplikacija.
Recimo imamo formu i stavimo u hidden field vrijednost 123654 i da bi se forma procesuirala prvo se provjeri postojanje tog hidden field s tom određenom vrijednosću u formi.
Ovo je sad banalan primjer kojeg i malo djete može zaobići, no princip bi bio takav.
Imamo sesije i kolačiće ali ovo je ipak malo dručije jer bi se provjeralo dali unos dolazi baš s određenog dijela stranica ili cijele stranice.
Tim sistemom se nebi provjeravalo dali korisnik ima pravo ili ne već dali "upit na server" dolazi iz onog dijela aplikacije od kuda smije doči.
Recimo aplikacija za unos podataka u Silverlightu.
Koliko sam shvatio Silverlight web aplikacija se mogu dinamički generirati na serveru pa recimo toj cijeloj aplikaciji dodjelite jedan ID , i zatim se svaki put provjerava taj ID prilikom interakcije sa serverom.
Znači korisnik je potpuno anoniman ali se cijelo vrijeme provjera da svaka interakcija sa serverom dolazi iz aplikacije ili dijela aplikacije koja ima potpis.
Znam da sve što se nalazi na klijent strani se može haknuti bez problema ali bilo bi jedna dodatna stepenica i probao bi suziti broj "puteva" do servera (jedini način interakcije sa serverom bi bio taj kroz određenu formu).
Recimo imamo formu i stavimo u hidden field vrijednost 123654 i da bi se forma procesuirala prvo se provjeri postojanje tog hidden field s tom određenom vrijednosću u formi.
Ovo je sad banalan primjer kojeg i malo djete može zaobići, no princip bi bio takav.
Imamo sesije i kolačiće ali ovo je ipak malo dručije jer bi se provjeralo dali unos dolazi baš s određenog dijela stranica ili cijele stranice.
Tim sistemom se nebi provjeravalo dali korisnik ima pravo ili ne već dali "upit na server" dolazi iz onog dijela aplikacije od kuda smije doči.
Recimo aplikacija za unos podataka u Silverlightu.
Koliko sam shvatio Silverlight web aplikacija se mogu dinamički generirati na serveru pa recimo toj cijeloj aplikaciji dodjelite jedan ID , i zatim se svaki put provjerava taj ID prilikom interakcije sa serverom.
Znači korisnik je potpuno anoniman ali se cijelo vrijeme provjera da svaka interakcija sa serverom dolazi iz aplikacije ili dijela aplikacije koja ima potpis.
Znam da sve što se nalazi na klijent strani se može haknuti bez problema ali bilo bi jedna dodatna stepenica i probao bi suziti broj "puteva" do servera (jedini način interakcije sa serverom bi bio taj kroz određenu formu).