RSS

Paweł Goleń, blog

Zrzędzenie starego zgreda

Wednesday, November 25. 2009

Bootcamp XVII: wyjaśnienie zadania, część pierwsza

Przygotowałem pierwszą część wyjaśnienia zadania, dostępne jest ono tutaj. Jak do tej pory nadal tylko dwie osoby uporały się z zadaniem, nie widzę też by zadanie próbował rozwiązywać ktoś więcej, a szkoda. Głównym celem tego zadania jest ponowne pokazanie, że użytkownik może i będzie modyfikował dane, nad którymi ma kontrolę. Przykłady z ceną przekazywana w polach hidden są oklepane, dlatego w tym przypadku wykorzystałem przechowywanie stanu sesji po stronie klienta. Wybrałem ten przypadek, ponieważ niektóre frameworki pozwalają na przechowywanie całości lub części danych po stronie klienta, nie zawsze domyślnie właściwie chroniąc dane przechowywane w ten sposób. Czasami nie jest to istotne, a czasami wręcz przeciwnie...

Ślady
Brak Śladów
Komentarze
Czy ktoś zna może jakiś racjonalny powód dla którego takie zmienne trzyma się po stronie klienta? Dokładnie w ten sposób działa przecież ViewState, ale widziałem to też w jakichś frameworkach dla Javy. Jedyne co mi przychodzi do głowy to odciążenie serwera od przechowywania tych danych, ale i tak jest to argument dość wiotki ze względu na czas wkładany w kodowanie i dekodowanie tych danych, oraz na zwiększenie transferu danych od/do klienta.
#1 kravietz (Strona) o 2009-11-25 20:22 (Odpowiedz)
W JSF jest również ViewState i właśnie w tej "gorszej" wersji, niezabezpieczonej. W ASP.NET domyślnie jest włączony HMAC. Co prawda (znów - domyślnie) to ViewState nie zastępuje całkiem mechanizmu sesji, ale oczywiście można to użyć "źle", ładując tam wszystko, co popadnie.

Jeśli chodzi o powody korzystania z tego typu rozwiązań, to głównie spotykałem się z tłumaczeniem odnośnie wydajności właśnie, przy czym chodziło bardziej o pamięć - gdzieś te dane sesji muszą być trzymane. Tworząc wiele nowych sesji można przeprowadzić DoS i może być to łatwiejsze, niż ten sam DoS poprzez operację serializowania/deserializowania danych. Z drugiej strony rosną wówczas wymagania co do łącza.

Przychodzi mi do głowy jeszcze jedna zaleta trzymania sesji po stronie klienta - kompletna dowolność który serwer będzie obsługiwał klienta. Zwykle jest tak, że nawet jeśli jest jakiś klaster kilku serwerów jeden klient trafia do tego samego serwera, właśnie po to, by dane sesji były dostępne. Można to oczywiście rozwiązać inaczej (inny sposób składowania sesji po stronie "serwera"), ale może to być trochę skomplikowane i kosztowne. Przerzucenie utrzymywania stanu sesji na klienta może być wówczas uzasadnione, może go odtworzyć dowolny serwer.

Mimo wszystko jakoś trzymanie sesji po stronie klienta nie do końca do mnie przemawia.
#1.1 Paweł Goleń o 2009-11-25 20:35 (Odpowiedz)
Sprawa ViewState odżyla - za parę dni na Black Hat DC mają opublikować toola do wyłuskiwania danych z niezaszyfrowanego ViewState'a - http://www.darkreading.com/vulnerability_management/security/vulnerabilities/showArticle.jhtml?articleID=222600302&cid=RSSfeed . Pomijając naciągane tezy ("This is the first time a vulnerability of this nature has been discovered") zaczyna mnie zastanawiać - przecież tego typu rozwiązanie aż kłuje w oczy w momencie jego implementacji. Czy tylko garstka ludzi "zorientowanych na bezpieczeństwo" w ogóle widzi taką podatność, a inni mają w tym względzie "kurzą ślepotę", czy po prostu nikt się tym nie przejmuje, bo trzeba np. oddać projekt na czas i naładować go funkcjonalnościami z umowy?
#1.1.1 Krzysztof Kotowicz (Strona) o 2010-02-02 01:29 (Odpowiedz)
Szczerze mówiąc ciekawy jestem co zostanie pokazane. Szczególnie w przypadku ASP.NET, bo domyślne zastosowanie HMAC powinno ograniczać możliwości modyfikacji ViewState (podmianę pomijam). Znanym potencjalnym problemem jest natomiast ujawnianie informacji. Ciekawsze są te przypadki, w których ViewState nie jest chroniony przed modyfikacją.
#1.1.1.1 Paweł Goleń o 2010-02-02 07:58 (Odpowiedz)
Dodaj komentarz
Zamknięcie tekstu w znakach gwiazdki spowoduje jego wytłuszczenie (*tekst*), podkreślenia są tworzone przez zastosowanie _tekst_.
Standardowe emotikony jak :-) lub ;-) będą zmieniane na ich graficzną wersję.
Adresy e-mail nie będą pokazywane i będą używane tylko do celów wysyłania powiadomień drogą e-mailową
 
 

UWAGA: uprzedzam, że wszelki spam komentarzowy będzie cięty bez litości.

 

RSS dla komentarzy: ten artykuł | wszystkie komentarze

Najnowsze wpisy

Jak powstaje elektrozłom
Sunday, 21 July 2024
Cluster
Monday, 15 July 2024
Sponsorem przebudowy placu zabaw jest...
Sunday, 30 June 2024
Po lewej stronie drogi
Sunday, 19 May 2024
Nie lubię, gdy jest płasko
Sunday, 18 February 2024
Nowy iPad - wrażenia z przesiadki
Wednesday, 24 January 2024
Jak nie wiesz, to nie wiesz
Sunday, 14 January 2024
Z microk8s na k3s
Wednesday, 8 November 2023
Rajesh Penetrator
Saturday, 2 September 2023
random(random())
Tuesday, 1 August 2023

Losowe wpisy

Encoding: ESAPI
Sunday, 18 December 2011
Jest "dziura". I co z tego?
Monday, 14 November 2011
Bootcamp VIII: wyzwanie (hint III)
Sunday, 7 June 2009
Bieganie jest zdrowe?
Sunday, 7 December 2014
Wyzwanie: browsers under attack
Wednesday, 17 February 2010
Wrrr! Wolę Urząd Skarbowy niż ZUS....
Thursday, 14 June 2007
Miałem memory leak
Wednesday, 10 June 2009
Rozwiązanie wyzwania: Forensic Challenge 2010 - Banking Troubles
Thursday, 13 May 2010
Łańcuch kontroli
Tuesday, 10 July 2012
Tamagotchi X: logi
Thursday, 22 May 2008