"další argument proti referer-based ochraně proti CSRF (k již zmíněným problémům s firewally)."
A jak konkretne by v tomto pripade slo podle Vas podvrzeni refereru Javascriptem zneuzit k CSFR (predpokladejme, ze uzivatel / obet utoku ma ten nezabezpeceny IE6).
Problem s firewally je opacny - neumozni CSRF, pokud referer vyzaduji a delam jeho kontrolu tak omezim opravneneho uzivatele, ale neumoznim utok.
Leo
Názor k článku
Co je Cross-Site Request Forgery a jak se mu bránit
Leoš Ondra (neregistrovaný)
---.morava.adsl-llu.static.bluetone.cz
26. 11. 2008 22:40
