Показать сообщение отдельно
Старый 17.09.2010, 13:50   #7
tipsy
 
Аватар для tipsy
 
Регистрация: 10.07.2010
Сообщений: 415
Репутация: 311
По умолчанию

Цитата:
Сообщение от life_glider Посмотреть сообщение
я не понял. поясните пожалуйста. почему нереально?
Это моё субъективное мнение, и чтобы объяснить, как я к нему пришёл, понадобится написать несколько страниц текста.
Проще привести пример.
Я вставил картинку, которая снимает флажок "есть новые сообщения" с темы "BFQuest".


С одной стороны - мелочь, а с другой - я повлиял на форумный интерфейс всех посетивших эту тему пользователей неожиданным и нежелательным образом против их воли, то есть это CSRF.
Если ставить задачу "защититься от CSRF на 100%", это надо фиксить.
Спроси себя - почему булковцы это не прикрыли - и ты получишь ответ на свой вопрос.
Цитата:
а реферер в логах это не след(хоть и маленький)?
Твой сайт в реферер не попадёт, но номер ЛСки там будет, да.
Я писал о том, чтобы не вызвать подозрений в момент атаки.

Если посмотреть на адрес незагрузившейся картинки в предыдущем абзаце - атака раскрывается, а при использовании метода, о котором я писал - нет.
tipsy вне форума   Ответить с цитированием