Řekl bych, že oba webmaily jsou nebezpečné. Také bych nezmiňoval freemaily přímo.
Korektní by bylo upozornit provozovatele a třeba za dva týdny o nich napsat, v té době by to buďto měly opravené a nebo je to jejich blbost.
souhlasim, v podstate z toho je sice zrejme, ze pokud se vam podari ziskat URL mailu, ze ktereho si nekdo zobrazil vas "obrazek", "muzete" se dostat do jeho emailu. Bohuzel nikde tu uz neni zmineno, zdali se tedy autor pomoci tohoto do zminenych ci spise nezminenych emailu vskutku dostal, ci nikoliv, takze mi to cele prijde jako placani padlem do vody, spousta povyku, ale pohyb zadny :)
Imho největší problém je spíš to, že autoři mailu nejsou schopni implementovat nic víc, než kontrolu IP a předpoklad, že útočník nemá session ID. Přitom není nijak obtížné vygenerovat řetězec který i se získaným session ID + IP adresou bude dál vzdorovat.
Konečně jsem pochopil, nač je posílání pole referer v požadavku pošli mně tuhle stránku sem, k čemuž není toto pole k ničemu potřebné, kromě proděravění bezpečnosti.
Já bych v poli referer standardně odřezával všechny parametry, když už tam něco musí být, bezpečný prohlížeč tam rve konstantu nebo náhodný id...
Ja si to nastavil tak, ze v ramci serveru se referer posila, ale mezi servery ne (rsp. neco tam podvrhnu, ale uz si nepamatuju co jsem tam presne nastavil).
BTW parent.location.cookie funguje? Ja mel za to, ze skript v jedne domene nemuze cist nic (cili ani location, ani cookies) pokud je to ve strance v jine domene...
No, chvilu som sa musel snazit kym som dostal inu odpoved nez 'permission denied' :-) Prave toto zabralo. Mozno je to chyba konkretneho prehliadaca (konkretnej verzie). Mozno by stalo zato otestovat ktore prehliadace co povolia (nielen co sa cookies tyka).
V akom browseri sa to da takto presne nastavit? Ja pouzivam vacsinou Firefox 1.0 PR (este som ho nestihol vymenit za tu poslednu verziu), tam je tato moznost len pre https spojenia.
Da se to nastavit v naprosto libovolnem browseru. Jen je k nemu potreba priinstalovat Proxy server - Proxomitrona.
Tam lze pomoci regularnich vyrazu upravit vstup a vystup do browseru v podstate libovolne. Hlavne mi to zustane, kdyz menim prohlizec.
Jinak melo by to byt mozne nastavit snad i v jinych proxy - treba privoxy
Kdyby si nekdo chtel tohle v proxomitronu nastavit, tak staci pridat filtr do konfigurace:
In = FALSE
Out = TRUE
Key = "Referer: No cross-referrer"
Match = "http://(^\h)*"
Replace = "\u"
V ramci jedne domeny posila referer normalne, pri prechodu mezi dvemi domenami posle misto te nove strance jako referer adresu sebe sama.