Hlavní navigace

Nástroje a utility

Jak vyčistit disk s Linuxem?

Názory k článku
Jak zobrazit banner na zabezpečené stránce

Jerry III
Jerry III (neregistrovaný)
30. 12. 2003 3:46 Nový

SSL varovani

celé vlákno

Nejak sem nepochopil proc kdyby Billboard serviroval banner pres SSL tak by uzivatel obdrzel nejaky warningy, pokud by pouzivali certifikat podepsanej nejakou znamou (tj. nainstalovanou v default instalacich browseru) autoritou tak by zadnej browser nevaroval, ty varovani se objevujou kdyz server pouziva certifikat co je podpsanej nekym neznamym, vyprsenej (nebo jeste neni platnej) anebo pokud je vydanej na jinej web nez na kterej se pristupuje. Ale pokud SSL stranka linkuje dokumenty na jinym SSL webu (coz vzdycky bude znamenat jinej certifikat) tak je to naprosto v pohode.

No a to ze Billboard vyzaduje referer hlavicku je docela drsny, vetsina lidi co znam si posilani referer hlavicky blokujou.

Michal Kara
Michal Kara (neregistrovaný)
30. 12. 2003 7:30 Nový

Re: SSL varovani

celé vlákno

Jojo, taky bych rekl, ze pokud by Billboard pouzival certifikat, ktery lze overit pres trusted CA, tak by to melo byt OK.

Jinak koukam, ze znas dost nereprezentativni vzorek lidi :-)))

nishkam
nishkam (neregistrovaný)
30. 12. 2003 9:37 Nový

Re: SSL varovani

celé vlákno

>> vetsina lidi co znam si posilani referer hlavicky blokujou.

docela by me zajimaly nejake statistiky, jake % lidi neco takoveho dela. Nevite o necem?

met - Martin Hassman
met - Martin Hassman (neregistrovaný)
30. 12. 2003 10:26 Nový

statistiky

celé vlákno

Nevim, zda to je presne ten pripad, ale rekl bych, ze je to pozorovatelne napr. ve statistikach navrcholu - sledovani poctu stranek "jejich adresa nebyla zjistena" (to by melo byt zpusobeno prave neposlanim refereru).
Pak by stacilo porovnavat treba http://navrcholu.cz/Statistika/14/ http://navrcholu.cz/Statistika/30925/2003/12/30/zobrazovane-stranky/ a http://navrcholu.cz/Statistika/8389/
Vetsina to rozhodne neni, otazka zni, zda je to dostatecne malo.

Jakub Vrána
Jakub Vrána (neregistrovaný)
30. 12. 2003 11:00 Nový

Re: SSL varovani

celé vlákno

Jde o to, že ne všichni musí mít autoritu Billboardu mezi důvěryhodnými. Z hlediska bezpečnosti je lepší důvěryhodné autority promazat a nechat tam jenom ty, kterým skutečně věřím.

Pokud by autoritu Billboardu měla většina uživatelů mezi důvěryhodnými, problém by většinou nenastal. Pokud ale chci mít jistotu, musel by Billboard používat stejnou autoritu jako já. To je ale těžké zaručit např. v případě, kdy mám autoritu vlastní :-).

Michal Kara
Michal Kara (neregistrovaný)
30. 12. 2003 13:08 Nový

Re: SSL varovani

celé vlákno

Zkusim to napsat jeste jednou:

1) Nemusite mit Billboard mezi duveryhodnymi - staci tam mit tu, ktera Billboardu vydala certifikat (treba Thawte). Ziskat takovy certifikat neni velky problem a bude jej bez reci akceptovat vetsina prohlizecu.

2) Nevim o tom, ze by servery ktere generuji objekty na strance musely mit stejnou CA. Podle mne staci, kdyz maji certifikat od libovolen duveryhodne CA (viz vyse).

Ohledne detailu funkce SSL viz moje serie clanku zde na root.cz ;-)

Jakub Vrána
Jakub Vrána (neregistrovaný)
30. 12. 2003 15:28 Nový

Re: SSL varovani

celé vlákno

Mluvíme oba o tomtéž. Samozřejmě uživatel nemusí mít certifikát BillBoardu mezi důvěryhodnými. Když jsem psal "autoritu Billboardu", měl jsem na mysli "certifikační autoritu, která vydala certifikát pro BillBoard".

Objekty na stránce samozřejmě nemusí mít stejnou CA. Ale pokud ji mají různou, může se stát, že uživateli, který má mezi důvěryhodnými tu mojí a nemá tam tu BillBoardu, se zobrazí varování.

Snad už jsem to je teď srozumitelnější.

Michal Kara
Michal Kara (neregistrovaný)
30. 12. 2003 21:03 Nový

Re: SSL varovani

celé vlákno

Tak to ano, na druhou stranu mit stranky pro sirokou verejnost (navic stranky tak "skryteho" systemu jako je BB) zapepecene certifikatem od CA kterou nezna vetsina browseru na moc neni :-/ Proto me tato moznost ani nenapadla :-)

Stepan Kasal
Stepan Kasal (neregistrovaný)
30. 12. 2003 11:37 Nový

hlavicka v banner_c.php

celé vlákno

V kódu banner_c.php stojí:
elseif ($line === "") { fpassthru($fp); ... }
což znamená, že pokud náhodou BillBoard neodpověděl přesměrováním, ale poslal přímo nějaký obsah, skript ho předá bez jakékoli hlavičky.
A já se táži: kdo tam tu hlavičku doplní, a jaká je šance, že bude správně?

Jakub Vrána
Jakub Vrána (neregistrovaný)
30. 12. 2003 11:42 Nový

Re: hlavicka v banner_c.php

celé vlákno

V tom případě by se poslala standardní hlavička pro .php, tedy obvykle text/html. Lepší by samozřejmě bylo přeposlat hlavičku poslanou serverem nebo raději nedělat nic, protože takhle svým certifikátem ručíme za cizí data.

mrk
mrk (neregistrovaný)
30. 12. 2003 17:47 Nový

Re: hlavicka v banner_c.php

celé vlákno

V tomto pripade svym certifikatem za nic nerucime, protoze se ma zobrazit vysledek kliknuti (stranka inzerenta), ktery vetsinou neni HTTPS, takze se zobrazi varovani o odchodu ze zabezpecenych stranek.
btw. to presmerovani by tam melo byt za normalnich podminek ve 100% pripadu.

czeXit
czeXit (neregistrovaný)
30. 12. 2003 12:08 Nový

W3C & Billboard

celé vlákno

no zasahu do kodu se nevyhnete pokud chcete mit koser kod:
<table border='0' cellpadding='0' cellspacing='0' summary="BillBoard reklama">

samozrejme ze summary si musite rucne dopsat sami...

Yeti
Yeti (neregistrovaný)
30. 12. 2003 14:53 Nový

Re: W3C & Billboard

celé vlákno

Obávám se, že takovéto zneužití tabulky žádné formální úpravy v košer HTML zázračně nepromění :-)))

BTW, pokud už používám tabulku čístě pro vytvoření layoutu, tak je blbost tam psát summary, protože to není žádná tabulka a v nevisuálním browseru by to spíš mátlo...

czeXit
czeXit (neregistrovaný)
30. 12. 2003 15:53 Nový

Re: W3C & Billboard

celé vlákno

jo souhlasim, ze to neni zazracna promena :-)
ja jen vim ze do stranek jsem si nacpal billboard a navrcholu a obe se z nejakych duvodu nelibily, ted uz nevim co konkretne, je to pul roku, ale musim uznat ze to byly vicemene drobnosti...
takze asi tak.

Petr Ferschmann
Petr Ferschmann (neregistrovaný)
30. 12. 2003 14:59 Nový

Všechny zobrazené banery jsou z jedné adresy

celé vlákno

Pokud použijete tuto metodu tak kromě bezpečnostních problémů je tu také problém s tím, že všechny zobrazené banery jsou zobrazeny z jedné IP adresy.

Některé reklamní společnosti pokud na takovýto jev přijdou tak obvykle všechny zobrazení smažou - tj. nepočítají. Tento problém jsem kdysi řešil také a pokud nemáte velké množství zobrazení tak se s Vámi o tom ty reklamní společnosti ani nebaví.

Na druhou stranu pak není problém si spoustu zobrazení takto naklikat sám.

Jakub Vrána
Jakub Vrána (neregistrovaný)
30. 12. 2003 15:33 Nový

Re: Všechny zobrazené banery jsou z jedné adresy

celé vlákno

Informace o tom, že před aplikací postupu je vhodné si vyžádat souhlas provozovatele systému, není nadarmo.

Já jsem kupříkladu provozovatelům systému popsal situaci a souhlas jsem dostal. Pokud situaci provozovatel nezná, snadno statistiky vyhodnotí jako pokus o podvod.

karel
karel (neregistrovaný)
30. 12. 2003 15:01 Nový

Referer si blokuje každý správný paranoik

celé vlákno

a také Ti, kteří používají firewally s funkcí blokace této "nuzoty".
To, že si to někdo neblokuje je jeho věc a jeho ochrana soukromí.
Proč by měli ňácí statistici a reklamní agentury vědět odkud jdu?

????
čus

Yeti
Yeti (neregistrovaný)
30. 12. 2003 17:02 Nový

Re: Referer si blokuje každý správný paranoik

celé vlákno

Toto je pohled ze strany paranoidního uživatele. Pokud ale provozujete nějaké www servery, moc bych se divil, kdyby vám bylo úplně putna, odkud vám tam chodí lidi. Mě to tedy zajímá.

Takže střední cesta je jako obvykle někde uprostřed -- např. blokovat jen ty reklamní nesmysly, navrcholy a spol. Pokud někdo žije z reklamy, tak ho to asi nenadchne, ale to už je zase jiný boj...

Michal Kara
Michal Kara (neregistrovaný)
30. 12. 2003 21:07 Nový

Re: Referer si blokuje každý správný paranoik

celé vlákno

No, pouziva se i k bohulibejsim ucelum nez k reklame :-) Webmasteri podle refereru zjistuji kudy uzivatel chodil a mohou vyhodnocovat ucinnost/ergonomicnost webu. A navic ja sam jsem napsal nekolik aplikaci, ktere referer pouzivaly (pravda, vetsinou pro to, aby daly odkaz "Zpet" bez pouziti JS (ten totiz paranoici vypinaji nejdriv :-))) ).

P.S.: "To ze ses paranoidni neznamena, ze te nedostanou." :-)

Jirka Kosek
Jirka Kosek (neregistrovaný)
4. 1. 2004 23:52 Nový

Re: Referer si blokuje každý správný paranoik

celé vlákno

Kudy člověk chodil jde v rámci jednoho webu celkem pohodlně zjistit i z logu web serveru.

Myslím, že spoléhat na referer v aplikaci není moc dobrý nápad, protože stále více "bezpečnostních sw" typu "xyz firewall" filtruje HTTP provoz pro bezpečí a soukromí uživatele a součástí tohoto filtrování je i zahazování HTTP refereru. Pokud to aplikace opravdu potřebuje, je lepší si zdrojovou stránku předávat jako parametr v URL nebo skryté pole formuláře nebo v session proměnné. Nejlépe si to ještě na serveru zašifrovat nebo podepsat, aby se v tom uživatel nemohl moc šťourat.

Martin Zvarík
3. 1. 2008 6:27 Nový

Re: Referer si blokuje každý správný paranoik

celé vlákno
Session?? To by se server zbláznil, při asi 30 mega požadavcích za den.
Dan Ohnesorg
Dan Ohnesorg (neregistrovaný)
30. 12. 2003 19:25 Nový

Povazuji to za velmi nebezpecne

celé vlákno

Nehodnotim, jestli je kod funkcni nebo nebo a bezpecny nebo ne, ale principielne je to uplne spatne.

Vzdy, kdyz povolim, abych mel ve strance objekt dodany treti stranou, tak snizuji bezpecnost meho webu a ohrozuji uzivatele. Tato situace se dramaticky zhorsi, jakmile tohle ucinim ve strance, ktera je zabezpecena pres SSL a pokud cizi kod vystavuji jakoby z me adresy. Uzivatel si muze napr. nastavit muj server do dyveryhodne zony, a ja zpusobim, ze cizi kod, ktery odesilam je vyhodnocen v kontextu me stranky a tim i bezpecnostni zony, ktera je mi prirazena.

Pokud navic kod ziskavam po nezabezpecenem spojeni, tak riskuji, ze nekdo presmeruje DNS a ja kod nactu odjinud (protoze spojeni nebezi pres SSL, tak nemohu overit certifikat serveru, abych poznal jeho zamenu). A to nemluvim o moznosti uspesneho napadeni primo reklamniho systemu.

Pokud uzivatel klikne na ten banner, tak buh vi co si odnese na dalsi stranku, vzhledem k ruznych vadam v prohlizecich. V lepsim pripade nic, v horsim referrer obsahujici nejake cookie a v tom nejhorsim si zadavatel banneru precte kde co. Ne nadarmo se rika, ze po ukonceni prace se zabezpecenymi vecmi se ma prohlizec ukoncit a znovu spustit, chcete-li pokracovat jinde.

Podle me proste do SSL stranek patri reklama jedine vlastni. Propagovat neco jineho je nebezpecne, protoze si nekdo muze rict, je to se mi libi a pritom nedokaze poznat vsechny dusledky.

Jakub Vrána
Jakub Vrána (neregistrovaný)
30. 12. 2003 22:39 Nový

Re: Povazuji to za velmi nebezpecne

celé vlákno

Děkuji za příspěvek, na stejné téma se zamýšlím i v závěru článku a nabádám k použití postupu jen v situaci, kdy ke zmatení uživatele dojít nemůže (což by se snadno stalo např. pokud bych místo obrázku přenášel JavaScript).

Varování ohledně situace po kliknutí už tak výstižné není, konkrétně výrok "v horším případě si na další stránku odnese referrer obsahující nějaké cookie" je zcela zavádějící, protože cookie se v refereru samozřejmě nepřenáší a navíc ve skriptu mohu přesně nastavit, co se přenášet bude a co ne.

Věřím, že kdo se do aplikace postupu pustí, tak nějaké základní povědomí o bezpečnosti má a možné důsledky si uvědomí. Nehledě na to, že na rizika článek upozorňuje.

Dan Ohnesorg
Dan Ohnesorg (neregistrovaný)
2. 1. 2004 0:12 Nový

Re: Povazuji to za velmi nebezpecne

celé vlákno

OK, mate pravdu, to co si uzivatel pres referrer odnese neni cookie, ale rekneme session id. Zkratil jsem to, protoze beru za obvykle, ze u uzivatelu, kterym se nepodari zaslat cookie se to co by bylo jeho obsahem pridava do URL, aby se dala resit bezstavovost HTTP protokolu.

Jakub Vrána
Jakub Vrána (neregistrovaný)
2. 1. 2004 15:58 Nový

Re: Povazuji to za velmi nebezpecne

celé vlákno

I tak ale platí, že je čistě na mě, co reklamnímu serveru předám a co ne. Pokud si v URL udržuji session ID, zamozřejmě ho reklamnímu serveru nebudu přeposílat.

runner
runner (neregistrovaný)
1. 1. 2004 19:51 Nový

Re: Povazuji to za velmi nebezpecne

celé vlákno

Absolutne s Vami souhlasim, uvedeny postup je z hlediska bezpecnosti principialne zcestny a je poprenim filosofie duveryhodneho zdroje.
Certifikaci obsahu mimo moji kontrolu si zahravam s ohnem a cinim-li tak z pohnutek mrzce nizkych, jako je zabranit varovani uzivatele kvuli reklame, je me pocinani zavrzenihodne. Mym trestem bude drive ci pozdeji mnou overene a podepsane zoofilni porno nebo neco jineho. Halelujah...

Proc tam to varovani o nezabezpecenych objektech asi tak je? :-o

TomasDean
TomasDean (neregistrovaný)
30. 12. 2003 23:47 Nový

toky dat + uzitecnost

celé vlákno

Nejprve k uzitecnosti ... jak uz asi bylo tady nekde receno, mam-li stranky s zabezpecenim prez SSL tak asi slouzi nejakym vyssim cilum a nemam jediny duvod cpat do nich reklamu.

Druha vec jsou toky dat. Ty jsou totiz jedinym meritkem pro poskytovatele hostingu, ve vetsine pripadu se prave za toky dat PLATI. Kdyz pridam do svych stranek kus HTML kodu tak to nic moc neovlivni , ale kdyz budu na serveru s kazdym requestem stahovat banner, a pak ho posilat surferovi, zaprve si delam velke toky ve vlastnim virtualu a zadruhe delam ty same toky z IP adresy serveru a tudiz okradam poskytovatele zpusobovanim zbytecnych prenosu. (i nejeden poskytovatel plati za prenesene gigabajty).

U stranky s navstevnosti nula nula nic je to asi jedno, ale pri 10 - 100 Kuq (kilo uniques) za den uz je to znat.

Jako poskytovateli hostingu by se mi nelibilo mit na serveru podobne skripty.

Jakub Vrána
Jakub Vrána (neregistrovaný)
31. 12. 2003 10:03 Nový

Re: toky dat + uzitecnost

celé vlákno

Stránky zabezpečené protokolem HTTPS nemusí nutně sloužit nějakým vyšším cílům. Zabezpečení může být potřeba i na ryze komerčním serveru, kde reklama své místo má.

Co se přenosu dat týče, záleží samozřejmě na konkrétní smlouvě a v některých případech bych za traffic navíc zaplatil víc, než kolik by mi reklama přinesla. Ale typicky tomu tak ve většině případů podle mě nebude.

Zasílat nově přidané příspěvky e-mailem