• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

CORS - jak to działa serwer-serwer

+1 głos
102 wizyt
pytanie zadane 22 czerwca 2018 w Sieci komputerowe, internet przez Przemek Zembrzuski Gaduła (3,260 p.)
Witam,

Próbuje zrozumieć zasadę działania CORS i o ile wiem jak to wszystko działa jako klient-serwer to nie bardzo mogę zrozumieć czemu już błędu nie ma gdy wykonujemy zapytanie serwer-serwer. Biorąc pod uwagę np. wykradanie cookie/sesji to czy nie nie byłoby możliwe, że  gdy użytkownik otwiera złośliwą stronę i wtedy wykradane są mu cookie/sesje i przesyłane do serwera a ten by już wszystko zrobił czyli atak ?

2 odpowiedzi

+1 głos
odpowiedź 22 czerwca 2018 przez Comandeer Mentor (454,620 p.)
wybrane 22 czerwca 2018 przez Przemek Zembrzuski
 
Najlepsza

Jeśli chodzi o proponowany atak: żeby wykraść cookie po stronie przeglądarki, muszą one być dostępne z poziomu JS. Odpowiednie przygotowanie ciastek (HTTPS only + Same-Site) de facto eliminują możliwość odczytania ich po stronie JS. Dodatkowo można kontrolować, czy cookies są wysyłane dla żądań CORS--owych. Do tego dochodzi samo zabezpieczenie sesji przez choćby regenerowanie przy każdym żądaniu id sesji i sprawdzanie jej spójności (IP usera, przeglądarka itp. itd.). Takie ataki są wbrew pozorom trudne do przeprowadzenia dla dobrze zabezpieczonych stron WWW.

A co do CORS na poziomie serwer-serwer: nie miałoby to sensu, bo CORS to zabezpieczenie wynikające z modelu Same Origin. A ten na serwerze nie miałby racji bytu.

0 głosów
odpowiedź 22 czerwca 2018 przez Ehlert Mędrzec (162,660 p.)
Cors jest implementowany w przeglądarkach. Nie musisz się o niego martwić przy requestach Klient-serwer, gdy klient to cURL, Android itp., lub serwer-serwer.

Co do pomysłu na atak, to opisz go dokładniej.

Podobne pytania

0 głosów
2 odpowiedzi 162 wizyt
0 głosów
1 odpowiedź 101 wizyt
pytanie zadane 25 listopada 2018 w PHP, Symfony, Zend przez darek_kce Gaduła (3,180 p.)
0 głosów
1 odpowiedź 75 wizyt
pytanie zadane 26 grudnia 2017 w Systemy operacyjne, programy przez Bakr Mądrala (6,630 p.)
Porady nie od parady
Wynikowy wygląd pytania, odpowiedzi czy komentarza, różni się od tego zaprezentowanego w edytorze postów. Stosuj więc funkcję Podgląd posta znajdującą się pod edytorem, aby upewnić się, czy na pewno ostateczny rezultat ci odpowiada.Podgląd posta

63,266 zapytań

109,521 odpowiedzi

228,794 komentarzy

43,517 pasjonatów

Przeglądających: 173
Pasjonatów: 5 Gości: 168

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto dwie polecane książki warte uwagi. Pełną listę znajdziesz tutaj.

...