Re: /Redirect/

От: Boris Tyshkiewitch <bvt_at_mx_ru>
Дата: Mon 19 Nov 2001 - 19:23:42 MSK


On Mon, Nov 19, 2001 at 07:42:38AM -0800 Vladimir A . Butenko wrote:

> >При работе по https:// в письмах со ссылками формируются линки вида:
> >
> >https://mail.domain/Redirect/www.com
>
> На https://www.com формируется линк http://domain/SREDIRECT/www.com
> >При уходе на www.com может запрашиваеться дополнительное подтверждение
> >(напр. alert в Netscape). Может быть имеет смысл сразу формировать
> >абсолютную ссылку с http://mail.domain ?
>
> Нет, потому что тогда Ваш браузер передаст в поле Referrer текущий URL,
> в котором - Ваш SessionID. И послав Вам линк на свой сайт, хакер узнает
> Ваш SessionID, что при выключенной проверке IP Addresses даст ему
> возможность
> "угнать" Вашу сессию.

  Насколько я понял вопрос Саши, он хотел иного. При клике на ссылку, браузер открывает новое окно. При работе по https на это действие alert обычно не выдается.

  В новом окне отрабатывает редирект, который незаметно перебрасывает клиента из защищенной части сервера куда-то вдаль. На что браузер вполне справедливо ругается.

  Если бы при открытии окна был http://domain/redirect, то алерт бы не возник. Но нет никакой гарантии, что в конкретной инсталяции будут синхронные http & https сервера.

  Нужно управление формируемой ссылкой. Где-нибудь в strings.data

  Хотя это мелочь. Достает, но не сильно. Заодно позволяет задуматься, над необходимостью идти по присланной ссылке.

Boris.

##################################################################
Вы получили это сообщение потому, что подписаны на список рассылки   <CGatePro@mx.ru>.
Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru>
Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru>
Чтобы переключиться в индексный режим - mailto:<CGatePro-index@mx.ru>
Для административных запросов адрес <CGatePro-request@mx.ru> Получено Mon Nov 19 16:23:36 2001

Этот архив был сгенерирован hypermail 2.1.8 : Tue 21 Feb 2006 - 03:14:10 MSK