Ask Your Question

Revision history [back]

click to hide/show revision 1
initial version

posted 2014-09-13 15:18:51 +0100

Jen tak experimentálně jsem zkusil přihlásit se ve svém hlavním prohlížeči, kde dbám na bezpečnost (zatímco toto píšu z virtuálního stroje a standardně nastaveného prohlížeče). A hned jsem dostal 403, protože

CSRF verification failed. Request aborted.

You are seeing this message because this HTTPS site requires a 'Referer header' to be sent by your Web browser, but none was sent. This header is required for security reasons, to ensure that your browser is not being hijacked by third parties.

If you have configured your browser to disable 'Referer' headers, please re-enable them, at least for this site, or for HTTPS connections, or for 'same-origin' requests."

Nešlo by tohle vypnout? Hlavička referer žádný pozitivní bezpečnostní dopad nemá a proti XSRF nijak nechrání. Jediný význam to má v tom, že to bude otravovat nás, kdo považujeme bezpečnost za důležitou.

(Počítám, že časem budu otravovat ještě kvůli javascriptu a cookies, ale napřed musím najít, jak pro AskFit zfalšovat referer tak, aby se mi ta hláška nezobrazovala - teprve pak budu moci testovat, jaké další bezpečnostní nebo privacy díry po mě web bude chtít...)

Jen tak experimentálně jsem zkusil přihlásit se ve svém hlavním prohlížeči, kde dbám na bezpečnost (zatímco toto píšu z virtuálního stroje a standardně nastaveného prohlížeče). A hned jsem dostal 403, protože

CSRF verification failed. Request aborted.

You are seeing this message because this HTTPS site requires a 'Referer header' to be sent by your Web browser, but none was sent. This header is required for security reasons, to ensure that your browser is not being hijacked by third parties.

If you have configured your browser to disable 'Referer' headers, please re-enable them, at least for this site, or for HTTPS connections, or for 'same-origin' requests."

Nešlo by tohle vypnout? Hlavička referer žádný pozitivní bezpečnostní dopad nemá a proti XSRF nijak nechrání. Jediný význam to má v tom, že to bude otravovat nás, kdo považujeme bezpečnost za důležitou.

(Počítám, že časem budu otravovat ještě kvůli javascriptu a cookies, ale napřed musím najít, jak pro AskFit zfalšovat referer tak, aby se mi ta hláška nezobrazovala - teprve pak budu moci testovat, jaké další bezpečnostní nebo privacy díry po mě web bude chtít...)


Zjevně nemohu postnout víc než jednu odpověď. Zrovna u otázek tohoto typu mi to přijde nešťastné, protože jednotlivé odpovědi mají úplně jiný obsah a nijak spolu nesouvisí. Když si za půl roku vzpomenu, že mi chybí X, tak mohu tak akorát původní odpověď oeditovat, ale velmi pochybuji, že si takové změny někdo všimne.


V horní části stránky se mi nabízí rychlý přechod na ALL, UNANSWERED a FOLLOWED otázky. Nedalo by se tam přidat ještě MY (otázky, které jsem položil já)? Vím, že moje otázky jsou automaticky FOLLOWED, ale časem, až třeba budu sledovat více otázek, tak už rozlišení na moje otázky a cizí otázky, které jen sleduji, bude podstatné.

Jen tak experimentálně jsem zkusil přihlásit se ve svém hlavním prohlížeči, kde dbám na bezpečnost (zatímco toto píšu z virtuálního stroje a standardně nastaveného prohlížeče). A hned jsem dostal 403, protože

CSRF verification failed. Request aborted.

You are seeing this message because this HTTPS site requires a 'Referer header' to be sent by your Web browser, but none was sent. This header is required for security reasons, to ensure that your browser is not being hijacked by third parties.

If you have configured your browser to disable 'Referer' headers, please re-enable them, at least for this site, or for HTTPS connections, or for 'same-origin' requests."

Nešlo by tohle vypnout? Hlavička referer žádný pozitivní bezpečnostní dopad nemá a proti XSRF nijak nechrání. Jediný význam to má v tom, že to bude otravovat nás, kdo považujeme bezpečnost za důležitou.

(Počítám, že časem budu otravovat ještě kvůli javascriptu a cookies, ale napřed musím najít, jak pro AskFit zfalšovat referer tak, aby se mi ta hláška nezobrazovala - teprve pak budu moci testovat, jaké další bezpečnostní nebo privacy díry po mě web bude chtít...)


Zjevně nemohu postnout víc než jednu odpověď. Zrovna u otázek tohoto typu mi to přijde nešťastné, protože jednotlivé odpovědi mají úplně jiný obsah a nijak spolu nesouvisí. Když si za půl roku vzpomenu, že mi chybí X, tak mohu tak akorát původní odpověď oeditovat, ale velmi pochybuji, že si takové změny někdo všimne.


V horní části stránky se mi nabízí rychlý přechod na ALL, UNANSWERED a FOLLOWED otázky. Nedalo by se tam přidat ještě MY (otázky, které jsem položil já)? Vím, že moje otázky jsou automaticky FOLLOWED, ale časem, až třeba budu sledovat více otázek, tak už rozlišení na moje otázky a cizí otázky, které jen sleduji, bude podstatné.


Nezlobil bych se, kdyby byl vyšší limit pro délku komentářů. Občas je potřeba obšírnější vysvětlení a stávající limit je hodně omezující (resp. vede k tomu, že těch komentářů musím udělat víc).

Jen tak experimentálně jsem zkusil přihlásit se ve svém hlavním prohlížeči, kde dbám na bezpečnost (zatímco toto píšu z virtuálního stroje a standardně nastaveného prohlížeče). A hned jsem dostal 403, protože

CSRF verification failed. Request aborted.

You are seeing this message because this HTTPS site requires a 'Referer header' to be sent by your Web browser, but none was sent. This header is required for security reasons, to ensure that your browser is not being hijacked by third parties.

If you have configured your browser to disable 'Referer' headers, please re-enable them, at least for this site, or for HTTPS connections, or for 'same-origin' requests."

Nešlo by tohle vypnout? Hlavička referer žádný pozitivní bezpečnostní dopad nemá a proti XSRF nijak nechrání. Jediný význam to má v tom, že to bude otravovat nás, kdo považujeme bezpečnost za důležitou.

(Počítám, že časem budu otravovat ještě kvůli javascriptu a cookies, ale napřed musím najít, jak pro AskFit zfalšovat referer tak, aby se mi ta hláška nezobrazovala - teprve pak budu moci testovat, jaké další bezpečnostní nebo privacy díry po mě web bude chtít...)


Zjevně nemohu postnout víc než jednu odpověď. Zrovna u otázek tohoto typu mi to přijde nešťastné, protože jednotlivé odpovědi mají úplně jiný obsah a nijak spolu nesouvisí. Když si za půl roku vzpomenu, že mi chybí X, tak mohu tak akorát původní odpověď oeditovat, ale velmi pochybuji, že si takové změny někdo všimne.


V horní části stránky se mi nabízí rychlý přechod na ALL, UNANSWERED a FOLLOWED otázky. Nedalo by se tam přidat ještě MY (otázky, které jsem položil já)? Vím, že moje otázky jsou automaticky FOLLOWED, ale časem, až třeba budu sledovat více otázek, tak už rozlišení na moje otázky a cizí otázky, které jen sleduji, bude podstatné.


Nezlobil bych se, kdyby byl vyšší limit pro délku komentářů. Občas je potřeba obšírnější vysvětlení a stávající limit je hodně omezující (resp. vede k tomu, že těch komentářů musím udělat víc).


Nedalo by se u nových odpovědí (od poslední návštěvy nebo za posledních X hodin) použít nějaké zvýraznění. Teď je poměrně obtížné u otázky zjistit, co bylo přidáno a co ne. Je tu sice možnost skoku na novinku z profilu (stránka responses), ale funguje to problematicky, někdy to skočí, většinou ne (Firefox 32), takže zbývá akorát zkopírování zobrazené části odpovědi do clipboardu a pak hledání ve stránce s otázkou... Líbí se mi, jak to má Lupa.cz, tam je odpověď zvýrazněná a ještě je u ní odkaz pro skok na další novou odpověď.

Jen tak experimentálně jsem zkusil přihlásit se ve svém hlavním prohlížeči, kde dbám na bezpečnost (zatímco toto píšu z virtuálního stroje a standardně nastaveného prohlížeče). A hned jsem dostal 403, protože

CSRF verification failed. Request aborted.

You are seeing this message because this HTTPS site requires a 'Referer header' to be sent by your Web browser, but none was sent. This header is required for security reasons, to ensure that your browser is not being hijacked by third parties.

If you have configured your browser to disable 'Referer' headers, please re-enable them, at least for this site, or for HTTPS connections, or for 'same-origin' requests."

Nešlo by tohle vypnout? Hlavička referer žádný pozitivní bezpečnostní dopad nemá a proti XSRF nijak nechrání. Jediný význam to má v tom, že to bude otravovat nás, kdo považujeme bezpečnost za důležitou.

(Počítám, že časem budu otravovat ještě kvůli javascriptu a cookies, ale napřed musím najít, jak pro AskFit zfalšovat referer tak, aby se mi ta hláška nezobrazovala - teprve pak budu moci testovat, jaké další bezpečnostní nebo privacy díry po mě web bude chtít...)


Zjevně nemohu postnout víc než jednu odpověď. Zrovna u otázek tohoto typu mi to přijde nešťastné, protože jednotlivé odpovědi mají úplně jiný obsah a nijak spolu nesouvisí. Když si za půl roku vzpomenu, že mi chybí X, tak mohu tak akorát původní odpověď oeditovat, ale velmi pochybuji, že si takové změny někdo všimne.


V horní části stránky se mi nabízí rychlý přechod na ALL, UNANSWERED a FOLLOWED otázky. Nedalo by se tam přidat ještě MY (otázky, které jsem položil já)? Vím, že moje otázky jsou automaticky FOLLOWED, ale časem, až třeba budu sledovat více otázek, tak už rozlišení na moje otázky a cizí otázky, které jen sleduji, bude podstatné.


Nezlobil bych se, kdyby byl vyšší limit pro délku komentářů. Občas je potřeba obšírnější vysvětlení a stávající limit je hodně omezující (resp. vede k tomu, že těch komentářů musím udělat víc).


Nedalo by se u nových odpovědí (od poslední návštěvy nebo za posledních X hodin) použít nějaké zvýraznění. Teď je poměrně obtížné u otázky zjistit, co bylo přidáno a co ne. Je tu sice možnost skoku na novinku z profilu (stránka responses), ale funguje to problematicky, někdy to skočí, většinou ne (Firefox 32), takže zbývá akorát zkopírování zobrazené části odpovědi do clipboardu a pak hledání ve stránce s otázkou... Líbí se mi, jak to má Lupa.cz, tam je odpověď zvýrazněná a ještě je u ní odkaz pro skok na další novou odpověď.


Pokud někdo k otázce přidá komentář, znemožní se tím editace otázky ("retag", "flag offensive"), protože :hover komentáře se objeví nad editačními linky. Konkrétní příklad https://askfit.cz/question/152/sqlsrv_connect-charset/ - rád bych přidal tag tech-support, ale nejde to...

Jen tak experimentálně jsem zkusil přihlásit se ve svém hlavním prohlížeči, kde dbám na bezpečnost (zatímco toto píšu z virtuálního stroje a standardně nastaveného prohlížeče). A hned jsem dostal 403, protože

CSRF verification failed. Request aborted.

You are seeing this message because this HTTPS site requires a 'Referer header' to be sent by your Web browser, but none was sent. This header is required for security reasons, to ensure that your browser is not being hijacked by third parties.

If you have configured your browser to disable 'Referer' headers, please re-enable them, at least for this site, or for HTTPS connections, or for 'same-origin' requests."

Nešlo by tohle vypnout? Hlavička referer žádný pozitivní bezpečnostní dopad nemá a proti XSRF nijak nechrání. Jediný význam to má v tom, že to bude otravovat nás, kdo považujeme bezpečnost za důležitou.

(Počítám, že časem budu otravovat ještě kvůli javascriptu a cookies, ale napřed musím najít, jak pro AskFit zfalšovat referer tak, aby se mi ta hláška nezobrazovala - teprve pak budu moci testovat, jaké další bezpečnostní nebo privacy díry po mě web bude chtít...)


Zjevně nemohu postnout víc než jednu odpověď. Zrovna u otázek tohoto typu mi to přijde nešťastné, protože jednotlivé odpovědi mají úplně jiný obsah a nijak spolu nesouvisí. Když si za půl roku vzpomenu, že mi chybí X, tak mohu tak akorát původní odpověď oeditovat, ale velmi pochybuji, že si takové změny někdo všimne.


V horní části stránky se mi nabízí rychlý přechod na ALL, UNANSWERED a FOLLOWED otázky. Nedalo by se tam přidat ještě MY (otázky, které jsem položil já)? Vím, že moje otázky jsou automaticky FOLLOWED, ale časem, až třeba budu sledovat více otázek, tak už rozlišení na moje otázky a cizí otázky, které jen sleduji, bude podstatné.


Nezlobil bych se, kdyby byl vyšší limit pro délku komentářů. Občas je potřeba obšírnější vysvětlení a stávající limit je hodně omezující (resp. vede k tomu, že těch komentářů musím udělat víc).


Nedalo by se u nových odpovědí (od poslední návštěvy nebo za posledních X hodin) použít nějaké zvýraznění. Teď je poměrně obtížné u otázky zjistit, co bylo přidáno a co ne. Je tu sice možnost skoku na novinku z profilu (stránka responses), ale funguje to problematicky, někdy to skočí, většinou ne (Firefox 32), takže zbývá akorát zkopírování zobrazené části odpovědi do clipboardu a pak hledání ve stránce s otázkou... Líbí se mi, jak to má Lupa.cz, tam je odpověď zvýrazněná a ještě je u ní odkaz pro skok na další novou odpověď.


Pokud někdo k otázce přidá komentář, znemožní se tím editace otázky ("retag", "flag offensive"), protože :hover komentáře se objeví nad editačními linky. Konkrétní příklad https://askfit.cz/question/152/sqlsrv_connect-charset/ - rád bych přidal tag tech-support, ale nejde to...


Bylo by dobré při mazání spamů smazat také jejich autory. Nebo možná je jen zablokovat, ale smazat jim karmu - připadá mi nebezpečné, že uživatelé jako @NSwenson nebo @JAstudill mají karmu přes sto, takže mají práva, která by rozhodně mít neměli.