Problém při detekci útoku přes session v IE8 při AJAXu

Upozornění: Tohle vlákno je hodně staré a informace nemusí být platné pro současné Nette.
před 15 lety
vlki
Člen | 218
+
0
-

Zdravím, zjistil jsem, že v Internet Exploreru 8 pod Windows 7 dochází k detekci útoku přes session. Problém je v tom že výchozí funkce, která generuje klíč pro verifikaci používá pole Accept-Language z hlavičky požadavku. A IE není konzistentní v téhle informaci. Při „normálním“ požadavku používá cs-CZ a při ajaxu jen cs. Kvůli podezření z útoku se vymažou ze session všechna data, což je trochu dost k ničemu.

Sám jsem si už funkci přepsal, aby Accept-Language nepoužívala, ale myslím si, že nebudu jediný, kdo se s tím v nejbližší době setká.

Poprosil bych někoho, kdo má aktivní Live účet, aby to kdyžtak postnul do feedbacku .

Prohlížeč by se v tomhle měl chovat konzistentně, ne?

EDIT: verze IE8: 8.0.7600.16385

Editoval vlki (7. 9. 2009 1:59)

před 15 lety
ic
Člen | 430
+
0
-

Microsoft pokud vím chyby v IE neopravuje i když o nich ví, kromě těch bezpečtnostních, takže to že o tom budou vědět asi moc nepomůže

před 15 lety
vlki
Člen | 218
+
0
-

No, tak pokud je to pravda, tak by to pak asi měl řešit framework, což?

před 15 lety
David Grudl
Nette Core | 8229
+
0
-

fixed