Dynamik
Jag och Evildoer har haft en bra förmiddag. Prototypen sköter sig bra och buggar inte ur sålänge den bara får snälla formulär, sådana med två fält: ett för namn och ett för lösenord. Vi tycker inte om tjänster som har femtielva osynliga fält i ett tillsynes enkelt formulär och vi tycker inte om URL:er som är längre än 100 tecken. Inget sånt, tack.
Förövrigt undrar jag vad som är grejen med dynamiska länkar, alltså såna där jättedynamiska som pekar fel. Såhär är det: På vårt uni finns det en studiehandbok, ett arkiv med alla kursplaner. Varje kurs har en sida med den svenska kursplanen och om man skickar en sådan länk till någon så går länken till den önskade sidan (förstås). Om man vill se den engelska kursplanen måste man klicka på en knapp på den svenska sidan för önskad kurs. Så långt är allt väl. Men, länken till den engelska sidan beror på vilken sida man var på innan. Om man skickar en sådan länk till någon annan så pekar den på någon slumpmässig sida, verkar det som. Igår ville jag visa min mamma vilken kurs jag ska labbassa på så jag gick in på den svenska sidan för önskad kurs, upptäckte att kursplanen bara fanns tillgänglig på engelska, klickade mig vidare till den engelska motsvarigheten och kopierade URL:en. Mamma blir förvånad och tyckte att den där kursen såg väldigt svår ut och undrade om det där verkligen var något som jag kunde. Hon hade all rätt att tvivla: studiehandboken gav nämligen adressen till något avancerat som jag inte alls vill labbassa i. Jag fick läsa det två gånger innan jag förstod att det var ett exjobb i biologi. :)
Haha, exjobb i biologi, det vore väl något? ;-D Ödet kanske vill att du ska sadla om till biolog.
Ödet ska hålla tyst, tycker jag. :)
Vanligaste anledningen till slumpmässiga länkar är helt enkelt dålig design av sidan; någon har varit för "smart" när den kodade (alt känner inte till "permanent link" konceptet, vilket är mycket oroväckande).
Vet dock att en del säkerhetsprodukter fungerar som en reverse web proxy, men där det som presenteras mot användarna är helt slumpmässiga URI'er.
T.ex. kanske Alice får URI /044ebda349a9qZbQt/ istället för /main.php och Bob får /12341498dEg85Qz/ istället för /main.php. Det knyts ihop med sessionen, så att Alice inte kan använda länkar från Bob och Bob inte kan använda länkar från Alice. Länkarna blir alltså både isolerade både med avseende på tiden och per användare.
Därmed blir det svårt tillverka göra Type-0 XSS, Type-1 XSS eller CSRF exploits mot användare av den web siten. Hur gör man en "användare i mitten" attack mot en URL som aldrig kommer vara den samma?
Paranoia koncept. Man klipper ner användbarheten en hel del på detta sätt, men visst tusan fick man säkerhet. Frågan är om det är en acceptabel avvägning, de flesta accepterar nog sådant endast för väldigt känsliga system (banker osv)
Ok, då förstår jag varför man gör sånt. I det här fallet tror jag dock att det bara är en miss. Frågan är vad man väljer, lite extra säkerhet eller att mamma slipper tro att jag gått och blivit biolog. ;)