Jogger.pl


Przy przekierowaniu do panelu administracyjnego jest sprawdzany adres, z którego nastąpiło wejście. Jeżeli wejście nie nastąpiło z innej zakładki w panelu to sprawdzane są wszystkie przekazywane parametry.

W przypadku, gdy odnośnik jest w porządku to jogger pozwala wejść dalej:

 

W przeciwnym wypadku odrzuca wejście:


Komentarze RSS

  1. Super. :-) Teraz by trzeba jakiegoś eksperta XSS żeby przetestował mechanizm. :P

    Wygląd powiadomień paskudny, ale nie będzie tak wiecznie, obiecuję. ;-)

  2. Hmm. Sprytne. Bardzo dobre. Rozumiem, że sprawdza na podstawie cookies naszego logowania do Joggera w używanej przeglądarce.

  3. 2 prośby:

    • jeśli url jest na whiteliście to niech pojawi się właściwa strona z jakąś ewentualną dyskretną informacją, a najlepiej bez niej w ogóle.
    • Niech wszystkie podstrony naszych joggerów będą na whiteliście – jeśli wchodzimy (przynajmniej u mnie, na zewnętrznej domenie) przez podstronę (np edycja komentarza przez administratora) dostaję czerwony komunikat
  4. Dalej – edycja swoich komentarzy na obcych blogach nie działa

  5. Siergiej: ja ze swojego bloga pod swoja domena moge z powodzeniem edytowac swoje komentarze :)

    UPDATE: Teraz (z bloga sparrowa) tez moge edytowac swoj komentarz, nie widzac zadnego ostrzezenia.

  6. A ja nie mogę :(

  7. Uzupełnione znaczniki administracyjne

    W związku z dodaniem zabezpieczenia przed ewentualnym atakiem XSS oto lista dodatkowych dozwolonych odnośników w formie tagów joggerowych:

    - Dodaj wpis
    - edycja szablonu wpisów[...]

  8. O, już mogę – dzięki

  9. @Siergiej:

    AD1. Jest na whiteliście, ale może znajdować się u kogoś innego. Na przykład: usuwanie wpisu, masz możliwość usunięcia własnego wpisu. Jeżeli ktoś by umieścił u Ciebie w komentarzach odpowiedni link, to Ty klikając w niego skasowałbyś własny wpis. Dlatego jest dodatkowe potwierdzenie.

    AD2. Edycja komentarza dodana, jedno wyjście z warunku przy sprawdzaniu ilości parametrów za dużo :)

  10. @Piotr Konieczny: zgadza się, możesz edytować własny komentarz bez potwierdzania, ale strona edycji nie jest tą, która by mogła coś zepsuć. Inaczej wygląda sprawa z usuwaniem komentarza, lub bezpośrednią wysyłką zmienionego.

  11. Ja tego nie rozumiem. Loguję się ze strony jogger.pl, wchodze na własny panel i widzę czerwony napis, który mi mówi o włamaniu. To kto się włamał? Ja?

  12. „Jeżeli ktoś by umieścił u Ciebie w komentarzach odpowiedni link, to Ty klikając w niego skasowałbyś własny wpis.”

    Linki powodują żądanie HTTP GET, a GET nie powinno powodować „znaczących skutków ubocznych”, w szczególności nie powinno niczego kasować! Od tego jest POST.

  13. IMO przed skasowaniem np. komentarza (teraz to sie dzieje blyskawicznie) powinnismy byc kierowani na strone z pytaniem:

    Czy na pewno chcesz skasowac komentarz „...”? TAK/NIE

    Biorac pod uwage sugestie Jajcusia, jesli ktos namowi nas do wyslania formularza z metoda POST (np. jako falszywy formularz do wysylania komentarza na jakims blogasku) to moze ciachnac nam komentarz.

  14. Piotr: to chyba, jasne, że formularz powinien jeszcze zawierać unikalny „ticket” uwierzytelniający żądanie. W każdym razie użycie GET jest nie na miejscu, nawet, jeśli POST nie rozwiązuje wszystkich problemów.

  15. @Jajcuś z POST masz częściową rację, ale po pierwsze POST też można podrobić, a po drugie jak by miały wyglądać administracyjne linki ? Na przykład link do zablokowania IP, usunięcia komentarza, śledzone wątki itd.
    Czy to jest naprawdę taki dobry pomysł robienie do każdej funkcji specjalnego formularza z POST ?

  16. @Cynthia: poprawione

  17. Właśnie u Jajcusia na blogu walnąłem literówkę. Chciałem ją poprawić z panelu administracyjnego mojego Joggera, ale kiedy ją poprawiam i daję „Zapisz” to po zapisaniu pojawia się stara wersja wpisu komentarza, z błędem.

  18. Chcialem zablokowac IP pewnego namolnego Pana Chakera, (https://login.jogger.pl/?tab=comments&op=block_ip&ent_id=135497&comm_id=699194) i po wejsciu do panelu widze:

    Nastapilo przekierowanie z (pustka) Kontunuacja/Powrot

    Z tym, ze po kliknieciu na kontynuacja, nic sie nie dzieje — znow jestem w tym samym miejscu :-)

    Brak referera jest więc problemem. (Po odblokowaniu poszlo, ale troche smiesznie, tak przelaczac i wylaczac co chwila ;p)

  19. Teraz przy edycji komentarza mam:

    „przebudowa zakladki”

    :-)

  20. Już działa.

Komentowanie tylko dla zalogowanych