Forum: Programmieren allgemein
by mquadrat,
31. Okt 2008
@Grumpy
Läuft gerade aus dem Drucker. Danke für den Hinweis.
Stimmt das wäre ne Möglichkeit. Die Session-ID würde ich ja dann via JavaScript auslesen und nicht schon mit der Seite mitschicken wie ein Challenge-Token. Und von ner fremden Seite kommt man via JavaScript ja nicht auf den Cookie.
Ich denk ich muss da dochmal ein paar Demoattacken machen.
Forum: Programmieren allgemein
by mquadrat,
30. Okt 2008
Morgen zusammen,
Egal welche Plattform man für seine Webseiten nutzt, muss man sich irgendwann die Frage stellen, ob das selbstentwickelte Prachtstück sicher ist oder nicht.
Ich grübel derzeit über die Absicherung gegen CSRF Attacken. Das erste was man meist lies ist die Seite komplett auf POST umzustellen. Dies ist zum einen bei manchen Sachen nicht möglich und zum anderen nützt es gegen...