Newsgroups: sfnet.viestinta.www
Subject: Re: Miksi J*Scripti� kammoksutaan/pel�t��n?
References:     
"SP"  writes:

> "Atro Tossavainen" 
> kirjoitti viestiss�:[email protected]...
> 
> > Ei v�henn�, koska sy�tteet on lopulta kuitenkin tarkistettava my�s
> > palvelimen p��ss�. Asiakasp��n tarkistus kun voi tehd� ihan mit�
> > haluaa, mink� vuoksi palvelinp�� ei voi siihen luottaa.
> >
> 
> Mill� perusteella asiakasp�� voi tehd� mit� haluaa? Jos laitat esim.
> Javascriptin tarkistamaan, ett� jossain tietyss� kent�ss� on jotain,
> ennenkuin lomake l�hetet��n palvelimella, lomaketta ei saa l�hetetty� ilman
> ett� halutussa kent�ss� on jotain. Siten olemme ihan varmoja, ett� kent�st�
> tulee joku arvo kun se palvelimelle l�hetet��n. Korjaa jos olen v��r�ss�.

Olet v��r�ss�.

Esimerkiksi jos tuo tarkastus on tehty esimerkiski onclick 
tapahtumana send-nappiin, niin jos lomaketta k�ytt�� joku 
jolla JavaScript ei ole p��ll, ei tarkastusta tapahtu ollenkaan, 
vaan sis�lt� menee sellaisenaan tarkastamatta palvelimelle.

Mik� vaan softa voi hyvin generoida samanlaisen "ulosteen" 
kuin tuolomake tuottaa ja l�hett� sen serverille. Jos 
serverin softa hyv�ksyy kaiken mit� saa uskoen ett� se 
on kunnossa, se huoliii mist� sattuuu (voi olla
tietoturvariski).

K�yt�nnlss� web-maailmassa et voi luottaa asiakasp��ss� 
tapahtuvaan data tarkistukseen, koska et voi luottaa 
asiakasp��h�n ett� se tekee tarkastuksen tai ett� edes 
se asiakasp�� joka dataa l�hett�� on se sinu alkuper�inen 
lomakkeesi. Eli web-maailamssa lomekken sis�lt� pit�� aina 
tarkistaa palvelup��ss� ihan turvasyist�. Silt� ei voi v�ltty�. 

Tuon lis�ksi joissain tapauksissa voi olla hy�dyllist� tehd� 
lis�tarkastuksia asiakasp��ss� esimerkiksi Javascriptill� 
tai sitten ei (riippuu sovellutuksesta).


-- 
Tomi Engdahl (http://www.iki.fi/then/)
Take a look at my electronics web links and documents at 
http://www.epanorama.net/