Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Переменные $cookie_name

To: nginx-ru@xxxxxxxxx
Subject: Re: Переменные $cookie_name
From: Sergey Shepelev <temotor@xxxxxxxxx>
Date: Sat, 27 Jun 2009 10:28:53 +0400
Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:mime-version:received:in-reply-to:references :date:message-id:subject:from:to:content-type :content-transfer-encoding; bh=eim9wAjHRpjkS1jsghn4z3h8GBxCuaI7y4X5A1GJ1us=; b=Y5VNLgjlnhWAu7RnQ7a5EYpMQUV0hd+bEBBo4IACEw1NJ9zb+45o4h2RvmqzUrTjID 3LS34I7SNsPSIX4h5VVALXcT1/grQt5mqPpbx89ro8A6L7uNluOq9JP3JmTiELzeUkFN GLYQZQQFfd+Pxqy7P+W7NET4fAat/gLzusIl8=
Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=mime-version:in-reply-to:references:date:message-id:subject:from:to :content-type:content-transfer-encoding; b=t9w0RyQw2bMZzH0vXvy2W2RpC8v4n4ywG9itJFyEyN5Ns/XdNc+5bAejgu2c7V/KD6 PIJawqE3MSj1lz1jyxNZlumg8++uGBOAW2HK1KqlfU/ic9kkKazebKDOHtIQ8AtBuz4P 1DyhgmmdiajVI/OEs0ejHGTzD4H0C/xnbecns=
In-reply-to: <199212694.20090626220823@xxxxxxxxx>
References: <241feca80906241240v4bb9adebkf7dca46f558d7b6@xxxxxxxxxxxxxx> <87bpocvex1.wl%catap@xxxxxxxx> <20090625103731.GB66320@xxxxxxxxxx> <448877267.20090626201431@xxxxxxxxx> <87vdmiucjh.wl%catap@xxxxxxxx> <199212694.20090626220823@xxxxxxxxx>

2009/6/26 Gena Makhomed <gmm@xxxxxxxxx>:
> On Friday, June 26, 2009 at 20:31:46, Kirill A. Korinskiy wrote:
>
>>> предлагаю такой вариант:
>
>>> '-' транслируется в '_'
>
>>> '_' транслируется в '__'
>
>>> взаимно-однозначного соответствия нет, но и последовательность символов '--'
>>> в стандартных заголовках нигде не встречается, поэтому проблем не будет.
>
>>> заодно не будет уязвимости, которая появляется
>>> при включении директивы underscores_in_headers
>
> KAK> это еще хуже, чем мой хак и чем идея с экранированием.
>
> как можно экранировать недопустимые символы,
> если в именах переменных разрешены только буквы,
> цифры и символ подчеркивания ?
>

А это ограничение откуда?

> разве что кодировать каждый недопустимый символ
> как _0x00 ... _0xff, символ '-' преобразовывать
> в символ '_', символ '_' кодировать как '_0x5f',
> символ '0' из входного потока кодировать как '_0x30',
> если во входном потоке он идет сразу после символа '-'.
>
> при обратном преобразовании '_' становится '-',
> если после '_' не идет символ '0', иначе '_0'
> понимается как начало escape-последовательности.
>
> '-'  <=> '_'
>
> '_'  <=> '_0x5f'
>
> '-0' <=> '__0x30'
>
> так будет взаимно-однозначное соответствие
> исходной и закодированной строки символов,
> а также - полная обратная совместимость
> с режимом 'underscores_in_headers off'.
>
> --
> Best regards,
>  Gena
>
>
>

References:
- Переменные $cookie_name
  - From: Никита Козлов
- Re: Переменные $cookie_name
  - From: Kirill A . Korinskiy
- Re: Переменны е $cookie_name
  - From: Maxim Dounin
- Re: Переменные $cookie_name
  - From: Gena Makhomed
- Re: Переменные $cookie_name
  - From: Kirill A . Korinskiy
- Re: Переменные $cookie_name
  - From: Gena Makhomed

Prev by Date: Re: Переменные $cookie_name
Next by Date: имена папок в юникоде
Previous by thread: Re: Переменные $cookie_name
Next by thread: Перезапись client IP
Index(es):
- Date
- Thread