On Mon, Nov 19, 2001 at 07:42:38AM -0800 Vladimir A . Butenko wrote:
> >При работе по https:// в письмах со ссылками формируются линки вида:
> >
> >https://mail.domain/Redirect/www.com
>
> На https://www.com формируется линк http://domain/SREDIRECT/www.com
> >При уходе на www.com может запрашиваеться дополнительное подтверждение
> >(напр. alert в Netscape). Может быть имеет смысл сразу формировать
> >абсолютную ссылку с http://mail.domain ?
>
> Нет, потому что тогда Ваш браузер передаст в поле Referrer текущий URL,
> в котором - Ваш SessionID. И послав Вам линк на свой сайт, хакер узнает
> Ваш SessionID, что при выключенной проверке IP Addresses даст ему
> возможность
> "угнать" Вашу сессию.
Насколько я понял вопрос Саши, он хотел иного. При клике на ссылку, браузер открывает новое окно. При работе по https на это действие alert обычно не выдается.
В новом окне отрабатывает редирект, который незаметно перебрасывает клиента из защищенной части сервера куда-то вдаль. На что браузер вполне справедливо ругается.
Если бы при открытии окна был http://domain/redirect, то алерт бы не возник. Но нет никакой гарантии, что в конкретной инсталяции будут синхронные http & https сервера.
Нужно управление формируемой ссылкой. Где-нибудь в strings.data
Хотя это мелочь. Достает, но не сильно. Заодно позволяет задуматься, над необходимостью идти по присланной ссылке.
Boris.
##################################################################Вы получили это сообщение потому, что подписаны на список рассылки <CGatePro@mx.ru>.
Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru> Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru> Чтобы переключиться в индексный режим - mailto:<CGatePro-index@mx.ru>Для административных запросов адрес <CGatePro-request@mx.ru> Получено Mon Nov 19 16:23:36 2001
Этот архив был сгенерирован hypermail 2.1.8 : Tue 21 Feb 2006 - 03:14:10 MSK