Ошибка в коде. Вложенные коментарии

[vihtor]

Цитата:

Сообщение от Andkorol

Защита от CSRF.
Генерируется уникальный токен (13b9653934cc518b098bdc4770c2922b), сохраняется в сессию и выводится скрытым полем в форме:

Код:

<input type="hidden" name="CommentSession" value="13b9653934cc518b098bdc4770c2922b">

При обработке данных из формы происходит проверка на соответствие значения из скрытого поля формы тому значению, которое сохранено в сессии.
Если значения совпадают – всё ОК, данные из формы обрабатываются.
Если значения не совпадают – значит, произошла попытка использования CSRF, и данные из формы игнорируются.

Сколько не гуглил, так и не разобрался. Объясните пожалуйста по-конкретней.
Скажу одно, что я не программист и не разработчик приложений.
Просто увидел систему комментариев на каком-то сайте и решил себе поставить подобную. Система работает без авторизации.

[Andkorol]

Цитата:

Сообщение от vihtor

Объясните пожалуйста по-конкретней.

Я ж всё расписал по шагам, как это работает, дал ссылку на описание уязвимости – конкретнее некуда.

[vihtor]

Я так понял, что автор этой формы комментариев защитил свое приложение от CSRF-атак, а следовательно и от использования кем либо. Рыть в этом направлении бесполезно. Да и зачем? Есть другие способы поставить комментарии на сайт. Но это все мелочи. У меня проблемы более глобальные. Что делать со старым статическим сайтом из 20 тыс. страниц, который сдох в современном Интернете. Половину страниц уже разграбили и они находятся в ТОП-е поисковиков.
Но это уже другая тема.

[Andkorol]

Цитата:

Сообщение от vihtor

Я так понял, что автор этой формы комментариев защитил свое приложение от CSRF-атак, а следовательно и от использования кем либо.

Вообще никак не связанные между собой понятия – «защита от CSRF» и «защита скрипта от использования».
Тем более, что второе здесь совершенно не при чем.

[vihtor]

Цитата:

Сообщение от Andkorol

Вообще никак не связанные между собой понятия – «защита от CSRF» и «защита скрипта от использования».
Тем более, что второе здесь совершенно не при чем.

О'кей. Продолжим разговор. Предположим что защита скрипта от использования в данной форме не применяется.
Теперь посмотрим что такое CSRF:
"CSRF - Межсайтовая подделки запроса. Этот тип атак случается, когда злонамеренный Web сайт содержит ссылку, кнопку формы или некоторый javascript, который предназначен для выполнения некоторых действий на вашем Web сайте, используя учетные данные авторизованного пользователя, который посещал злонамеренный сайт в своем браузере. Сюда также входит связанный тип атак, ‘login CSRF’, где атакуемый сайт обманывает браузер пользователя, авторизируясь на сайте с чужими учетными данными."

А нафига мне эта защита на каком-то там паршивом сайтегике? Кто его будет атаковать? Да в обсуждаемой здесь форме комментариев даже авторизации нет. Как говорил великий компьютерный Гуру Виталий Леонтьев: "Это всё равно, что бомбить город, дабы уничтожить бегущую по улице мышь".

Скажите, как удалить эту защиту? Как сделать форму работоспособной?

Напоминаю, форму тестирую здесь: http://metodicwomen.esy.es/comm1/
А здесь рабочая форма: http://metodicwomen.esy.es/comm2/ , но только на php.
В первой форме применяется jQuery вместо php. Вот именно такую мне и нужно для статического сайта.

[ADSoft]

статический сайт априори не может быть динамическим - то есть добавлять и сохранять комментарии... вы ж должны данные о комментариях где-то хранить

[Andkorol]

Цитата:

Сообщение от vihtor

Напоминаю, форму тестирую здесь: http://metodicwomen.esy.es/comm1/

Конкретно эта форма не выдаёт никаких результатов, потому что для неё не указан обработчик:

Код HTML:

<form action="#" method="POST" name="CommentFormSend">

Вместо обработчика указан #.
Поэтому, данная форма просто не делает ничего.

[vihtor]

Цитата:

Сообщение от Andkorol

Конкретно эта форма не выдаёт никаких результатов, потому что для неё не указан обработчик:

Код HTML:

<form action="#" method="POST" name="CommentFormSend">

Вместо обработчика указан #.
Поэтому, данная форма просто не делает ничего.

Но и эта форма http://metodicwomen.esy.es/comm2/ без указания обработчика:
<form action="#" method="POST" enctype="multipart/form-data" name="addcom" id="addcom" onSubmit="return false">
однако она работает.

[vihtor]

Цитата:

Сообщение от ADSoft

статический сайт априори не может быть динамическим - то есть добавлять и сохранять комментарии... вы ж должны данные о комментариях где-то хранить

Но я же эту форму увидел на статическом сайте, где она прекрасно работает. Вот в чём ценность и уникальность. Теперь пытаюсь разгадать секрет. А на php всё это фуфло.
А данные о комментариях нигде не хранятся, они дописываются к контенту или хранятся в файле .csv
В каждом разделе свой отдельный такой файл. Пример здесь: http://rabotai.in/ideas/index.php (но только на php).
Кстати, а здесь как генерируется поле value="" без токенов?
На разных страницах, разное поле:
<input name="url" type="hidden" value="/ideas/index.php">

[ADSoft]

1. кто вам сказал что этот сайт статический???
2. на js, jquery и других клиентских штуках - ну никак не сохранить ни файл на сервер, ни данный в БД... тока локальное что-то - сторейдж, куки итд
3. насчет фуфла на php -просто вы не умеете....
4. а вот что вы написали о дописывании контента и csv - больше на фуфло подходит
5. без указания обработчика? вы уверены? что там нет обработчика на jquery привязанного к конкретному id формы? который как раз и передает данные асинхронно серверной части для сохранения онных? и скорее всего именно на php