Opened by Gustl at 2012-08-01 04:55
User since
2007-10-11
119 Artikel
BenutzerIn
![[default_avatar]](/battie/theme/default/default_avatar.gif)
2007-10-11
119 Artikel
BenutzerIn
2012-08-01T07:32:17 rostiBetrachte das Verhältnis von Aufwand und Nutzen: Ich habe wenig Aufwand, den Ajax-Request so zu bauen, dass eine Signatur mitgesendet und serverseitig geprüft wird.
Ein Pfuscher jedoch, der muss ersteinmal rauskriegen was da läuft und sich dann überlegen, ob es sich _für ihn_ lohnt, einen _eigenen_ UA zu bauen, der die Signatur nachbilden kann.
Naja, ein paar Seitenaufrufe mit pcap mitschneiden und die Requests vergleichen ...
Der Aufwand diese Pseudosicherheit umzusetzen für Server und für den Client wächst schneller. Umso größer dann der Schreck, wenn doch mal jemand einen Angriff durchführt, dabei ist doch alles kryptografisch usw..