Einzelnen Beitrag anzeigen

Benutzerbild von alcaeus
alcaeus

Registriert seit: 11. Aug 2003
Ort: München
6.536 Beiträge
 
#11

AW: PHP Überglobale Aktionen

  Alt 9. Apr 2011, 22:42
1. Ich weis grad nicht, ob Browser Passwortfelder über domaingrenzen hinweg versenden. Müsste man ausprobieren.
Warum nicht? Der Typ "password" sagt dem User-Agent nur, dass er den Inhalt nur maskiert anzeigen soll.

2. Könnte die DP den referer prüfen.
Koennte sie - Referer-Pruefungen sind aber immer unsicher - schliesslich gibt es genug UAs die dieses Feld nicht setzen. Schliesslich ist es laut HTTP-Protokoll ein Optionaler Header.

3. Könnte eine Art securitytoken eingebaut sein, dass man ein Einloggen-Formular nur einmal verwenden kann.

Du kannst natürlich auch jedesmal die Loginseite aufrufen und mit regexen das Formular herauskramen und wieder ausgeben.. Aber das übersteigt vermutlich deinen Wissenshorizont
Richtig - nichts leichter als ein XSRF-Token auszulesen und zu verwenden.

Daniel koennte aber trotzdem einiges dagegen haben, und sei es nur deshalb weil du mit sowas Zugriff auf Klartext-Passwoerter hast (schliesslich werden die Passwoerter bei dir eingegeben), und mir fallen innerhalb von Sekunden Zig Dummheiten ein die man damit machen koennte.

Greetz
alcaeus
Andreas B.
Die Mutter der Dummen ist immer schwanger.
Ein Portal für Informatik-Studenten: www.infler.de
  Mit Zitat antworten Zitat