• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

CORS - jak to działa serwer-serwer

+1 głos
112 wizyt
pytanie zadane 22 czerwca 2018 w Sieci komputerowe, internet przez Przemek Zembrzuski Gaduła (3,260 p.)
Witam,

Próbuje zrozumieć zasadę działania CORS i o ile wiem jak to wszystko działa jako klient-serwer to nie bardzo mogę zrozumieć czemu już błędu nie ma gdy wykonujemy zapytanie serwer-serwer. Biorąc pod uwagę np. wykradanie cookie/sesji to czy nie nie byłoby możliwe, że  gdy użytkownik otwiera złośliwą stronę i wtedy wykradane są mu cookie/sesje i przesyłane do serwera a ten by już wszystko zrobił czyli atak ?

2 odpowiedzi

+1 głos
odpowiedź 22 czerwca 2018 przez Comandeer Mentor (462,280 p.)
wybrane 22 czerwca 2018 przez Przemek Zembrzuski
 
Najlepsza

Jeśli chodzi o proponowany atak: żeby wykraść cookie po stronie przeglądarki, muszą one być dostępne z poziomu JS. Odpowiednie przygotowanie ciastek (HTTPS only + Same-Site) de facto eliminują możliwość odczytania ich po stronie JS. Dodatkowo można kontrolować, czy cookies są wysyłane dla żądań CORS--owych. Do tego dochodzi samo zabezpieczenie sesji przez choćby regenerowanie przy każdym żądaniu id sesji i sprawdzanie jej spójności (IP usera, przeglądarka itp. itd.). Takie ataki są wbrew pozorom trudne do przeprowadzenia dla dobrze zabezpieczonych stron WWW.

A co do CORS na poziomie serwer-serwer: nie miałoby to sensu, bo CORS to zabezpieczenie wynikające z modelu Same Origin. A ten na serwerze nie miałby racji bytu.

0 głosów
odpowiedź 22 czerwca 2018 przez Ehlert Mędrzec (168,400 p.)
Cors jest implementowany w przeglądarkach. Nie musisz się o niego martwić przy requestach Klient-serwer, gdy klient to cURL, Android itp., lub serwer-serwer.

Co do pomysłu na atak, to opisz go dokładniej.

Podobne pytania

0 głosów
2 odpowiedzi 175 wizyt
0 głosów
1 odpowiedź 77 wizyt
0 głosów
1 odpowiedź 151 wizyt
pytanie zadane 25 listopada 2018 w PHP, Symfony, Zend przez darek_kce Gaduła (3,180 p.)
Porady nie od parady
Odznacz odpowiedź zieloną fajką, jeśli uważasz, że jest ona najlepsza ze wszystkich i umożliwiła ci rozwiązanie problemu.Najlepsza odpowiedź

66,527 zapytań

113,291 odpowiedzi

239,931 komentarzy

46,657 pasjonatów

Przeglądających: 269
Pasjonatów: 7 Gości: 262

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto dwie polecane książki warte uwagi. Pełną listę znajdziesz tutaj.

...