alcaeus |
9. Apr 2011 21:42 |
AW: PHP Überglobale Aktionen
Zitat:
Zitat von jfheins
(Beitrag 1094167)
1. Ich weis grad nicht, ob Browser Passwortfelder über domaingrenzen hinweg versenden. Müsste man ausprobieren.
|
Warum nicht? Der Typ "password" sagt dem User-Agent nur, dass er den Inhalt nur maskiert anzeigen soll.
Zitat:
Zitat von jfheins
(Beitrag 1094167)
2. Könnte die DP den referer prüfen.
|
Koennte sie - Referer-Pruefungen sind aber immer unsicher - schliesslich gibt es genug UAs die dieses Feld nicht setzen. Schliesslich ist es laut HTTP-Protokoll ein Optionaler Header.
Zitat:
Zitat von jfheins
(Beitrag 1094167)
3. Könnte eine Art securitytoken eingebaut sein, dass man ein Einloggen-Formular nur einmal verwenden kann.
Du kannst natürlich auch jedesmal die Loginseite aufrufen und mit regexen das Formular herauskramen und wieder ausgeben.. Aber das übersteigt vermutlich deinen Wissenshorizont ;)
|
Richtig - nichts leichter als ein XSRF-Token auszulesen und zu verwenden.
Daniel koennte aber trotzdem einiges dagegen haben, und sei es nur deshalb weil du mit sowas Zugriff auf Klartext-Passwoerter hast (schliesslich werden die Passwoerter bei dir eingegeben), und mir fallen innerhalb von Sekunden Zig Dummheiten ein die man damit machen koennte.
Greetz
alcaeus
|