1

Googleでopenidの実装をデバッグしようとすると、Apache 406エラーが返され続けましたが、最終的に、ホスティング会社が「/ id」を含む文字列をGETパラメーターとして渡すことを許可していないことに気付きました(「example.php? anyattribute =%2Fid "URLエンコード後)。

Googleのopenidエンドポイントにこの死の単語「/id」(https://google.com/accounts/o8/id が含まれているため、これはかなり厄介です。このため、Googleにログインするたびにアプリが406エラーを返します。ホスティング会社に連絡したところ、セキュリティ上の理由からこれは無効になっているとのことでした。

確かに、代わりにPOSTを使用できます。しかし、これがセキュリティの問題を引き起こす可能性がある理由を誰かが知っていますか?

4

2 に答える 2

4

それはできません、あなたのホストは愚かです。string について魔法のようなものは何もありません/id

ときどき人々は文字列 を使ってばかげたことをします/id。たとえば、次の文字列を推測する人は誰もいないと仮定すると、ユーザーが3 をexample.com/mysensitivedata/id/3/持っているため、私のデータが表示されます。他の人のものを見ることができます。idexample.com/mysensitivedata/id/4/

その種の攻撃でサイトが破壊された場合、ホストによる甘やかしはどれも役に立ちません。

于 2009-10-01T15:52:36.927 に答える
1

URL 内の単純な ID がセキュリティ上の懸念となる理由の 1 つは、ユーザーが自分の ID を見て別の ID を入力する可能性があることです。保護されていません。

于 2009-10-01T15:52:23.267 に答える