Maskování „do“ parametru v url

Upozornění: Tohle vlákno je hodně staré a informace nemusí být platné pro současné Nette.
před 7 lety
Marek Bartoš
Nette Blogger | 1167
+
-1
-

Zdravím,
existuje nějaká možnost, jak zamaskovat „do“ parametr v url? Ideálně tak, že se adresa kanonizuje a tím „do“ parametr smaže nebo nenastane žádná reakce v případě, že neexistuje přidružený handler (netuším, jakým způsobem se momentálně nakládá s přebytečnými query parametry.

@DavidGrudl Možná přidat catchInvalidHandlerException do třetí verze nette? (chce to lepší název, navíc je tu catchExceptions pro presentery, takže by to možná přišlo vhod sloučit). Celkem by se mi to hodilo při zakrývání používaných technologií.

před 7 lety
David Matějka
Moderator | 6445
+
0
-

Jestli nechces, aby se zobrazovala error page u neexistujiciho signalu, staci prekryt metodu processSignal a chytit BadSignalException.

catchExceptions pro presentery, takže by to možná přišlo vhod sloučit

catchException slouzi k necemu jinemu

Celkem by se mi to hodilo při zakrývání používaných technologií.

to je zbytecne, je spousta dalsich indicii, dle kterych se to necha odhalit.

před 7 lety
Marek Bartoš
Nette Blogger | 1167
+
0
-

@DavidMatějka Díky za radu.

Na té další spoustě indicií pracuji též. Nejspíš je nezachytím všechny, ale útočníky to dost zpomalí. Rozhodně rozumnější řešení, než na svět křičet, že používám kupříkladu wordpress

před 7 lety
F.Vesely
Člen | 368
+
0
-

Osobne si myslim, ze je to zbytecna prace. To, ze pouzivas Nette, je podle me vyhoda a utocnika to spise odradi.

před 7 lety
Zax
Člen | 370
+
-1
-

Signály jdou snadno nasimulovat přes parametry, konec konců signál je taky jenom parametr v URL, akorát framework je naučený, že na něj má reagovat spuštěním handle metody, případně vyhozením výjimky pokud neexistuje.

<?php
function actionSomething($signal = NULL) {
    if($signal === 'doSomething') {
        // kód signálu
    }
}
?>

Neexistující „signál“ nic neudělá. Nevýhodou je, že takhle funguje jen pro danou akci, ale neměl by být problém si to dyžtak ohnout podle potřeby. Princip je pořád stejný.

před 7 lety
newPOPE
Člen | 648
+
+1
-

Celkem by se mi to hodilo při zakrývání používaných technologií.

Co tak pri kazdej response generovat nahodne aj hodnotu X-Powered-By hlavicky? ;)

Uz to tu zhrnuli, tym, ze zacnes spekulovat sa ti lahko moze stat, ze urobis viac skody ako uzitku. Hlavne ked nepoznas do detailu ako to vsetko spolu funguje… Skor by som sa sustredil na vyvoj ako na taketo veci.

před 7 lety
Marek Bartoš
Nette Blogger | 1167
+
0
-

Generování náhodných powered-by by v případě open-source dost jasně software identifikovalo. Ideální je informace, které nejsou pro uživatele nijak relevantní, vůbec nezobrazovat. Neboj, neplánuju implementovat šifrování od píky, vím, co si můžu dovolit