-
Eine GET-Variable
Autor: Baron Münchhausen. 01.03.18 - 09:12
> Besonders kritisch an der BVG-Statusseite war, dass dort auch Mailadressen von Kunden einsehbar waren. Offenbar für einen API-Aufruf wird dort eine E-Mail-Adresse über eine GET-Variable übergeben.
Ist wie der Weihnachsmann. Irgendwan entdeckt man, dass es sie gar nicht gibt.
Ah nein, da ist sie doch: https://secure.php.net/manual/de/reserved.variables.get.php
Die RFC sollte dringend überarbeitet werden:
https://tools.ietf.org/html/rfc1738#section-3.3
Die haben da haufen Fehler. Die nenen da die GET-Variable irgendwas mit Q oder so.
6 mal bearbeitet, zuletzt am 01.03.18 09:21 durch Baron Münchhausen.. -
Re: Eine GET-Variable
Autor: chewbacca0815 01.03.18 - 10:16
Baron Münchhausen. schrieb:
--------------------------------------------------------------------------------
> Die RFC sollte dringend überarbeitet werden:
Das liegt doch am RFC, wenn man zu dumm ist, den korrekten Übertrgaungsweg von Inhalten zu nehmen. Nimm POST anstatt GET und es gäbe solche Dinge garnicht.
https://www.w3schools.com/tags/ref_httpmethods.asp -
Re: Eine GET-Variable
Autor: Anonymer Nutzer 01.03.18 - 11:00
... als wenn mann post-daten nicht mitlesen und manipullieren könnte ...
-
Re: Eine GET-Variable
Autor: chewbacca0815 01.03.18 - 11:47
ML82 schrieb:
--------------------------------------------------------------------------------
> ... als wenn mann post-daten nicht mitlesen und manipullieren könnte ...
POST wird im Gegensatz zu GET aber nicht gecacht ... -
Re: Eine GET-Variable
Autor: katze_sonne 01.03.18 - 12:10
chewbacca0815 schrieb:
--------------------------------------------------------------------------------
> ML82 schrieb:
> ---------------------------------------------------------------------------
> -----
> > ... als wenn mann post-daten nicht mitlesen und manipullieren könnte ...
>
> POST wird im Gegensatz zu GET aber nicht gecacht ...
Und vor allem nicht gelogt. Das ist der entscheidende Faktor. Hab zwar mit Webentwicklung nicht viel am Hut, aber das mit den "GET-Variablen nicht für sensible Daten" hatten wir definitiv mal im Informatik-Studium. Ist also eigentlich nichts neues. -
Re: Eine GET-Variable
Autor: Anonymer Nutzer 01.03.18 - 14:21
natürlich kannst du auch post-daten loggen, der grund warum das nicht gemacht wird, liegt an dem umfang den formulare annehmen können, lange z.t. formatierte texte und dateiuploads von katzenbildern.
-
Re: Eine GET-Variable
Autor: Proctrap 01.03.18 - 17:00
eher dass extra darüber passwörter gesendet werden
1 mal bearbeitet, zuletzt am 01.03.18 17:01 durch Proctrap. -
Re: Eine GET-Variable
Autor: Baron Münchhausen. 02.03.18 - 08:56
Ich bin fassungslos. Ihr wollt mich trollen oder ich bin in ein einem Alptraum.
2 mal bearbeitet, zuletzt am 02.03.18 08:57 durch Baron Münchhausen.. -
Re: Eine GET-Variable
Autor: katze_sonne 02.03.18 - 12:15
ML82 schrieb:
--------------------------------------------------------------------------------
> natürlich kannst du auch post-daten loggen, der grund warum das nicht
> gemacht wird, liegt an dem umfang den formulare annehmen können, lange z.t.
> formatierte texte und dateiuploads von katzenbildern.
Klar, loggen kann man vieles. Aber die aufgerufenen Adressen / URLs werden ja wohl fast immer geloggt.



