После чего все зашедшие на эту страницу исправно сообщат sniff.cgi, кто они, откуда и т. д. В частности,

Поскольку мы выбрали в качестве метода передачи данных GET, HTTP_REFERER будет содержать и имя, и

Пароль пользователя. Между прочим, очень многие Web-чаты до сих пор имеют этот недостаток.

Дальнейшее уже зависит от политики в отношении вставки html-тэгов. Мы можем махнуть рукой и отдать

Нашу доску на растерзание, можем запретить все тэги, завести список запрещенных или разрешенных тэгов.

Выбрав путь фильтрации, важно фильтровать весь пользовательский ввод, не рассчитывая, например, на то, что,

Если вы сделали в своем чате выпадающий список, позволяющий выбрать цвет, никому не придет в голову

передать вместо ожидаемой строки с кодом цвета строчку вида color"ximgsrc="..._"><

Впрочем, даже после этого мы не застрахованы, к примеру, от того, что Vasya, находясь в одной локальной

Сети с Petya, не установит там анализатор сетевого трафика и не подсмотрит всю критичную информацию. При

Более серьезном объекте атаки, чем гостевая книга или Web-чат, и последствия более серьезные - достаточно

Представить на их месте Web-магазип либо систему управления банковским счетом.

Приведенные примеры являются лишь одной стороной общей проблемы идентификации в Internet. Несмотря

На то что среднестатистический пользователь оставляет в Сети массу сведений о себе, мы не можем быть