¿Existen beneficios de la toma de huellas dactilares de Ajax?

1

Estaba leyendo un artículo en " Web 2.0 Defense con Ajax Fingerprinting and Filtering ". El énfasis del papel en el uso del encabezado de marca de tiempo Ajax para identificar las llamadas Ajax.

// Building request
    http.open("GET", "/ajax-only/headline", true);
    http.setRequestHeader("Ajax-Timestamp",Date())

Con el siguiente encabezado adjunto a la solicitud

Ajax-Timestamp: Tue Oct 24 2006 17:37:46 GMT+0530 (India Standard Time)

Estoy confundido, ¿cuáles son los beneficios de seguridad de identificar llamadas Ajax a partir de solicitudes normales?

    
pregunta Ali Ahmad 18.02.2013 - 11:13
fuente

1 respuesta

4

He leído este artículo hace un tiempo (creo que tiene aproximadamente 7 años) y, con todo respeto a Shreeraj Shah (el autor), estoy totalmente en desacuerdo y extiendo mi desacuerdo a la mayor parte de su metodología de "seguridad" . ¡La seguridad por oscuridad no es la respuesta!

Aquí hay algo tomado del artículo SEGURO original (IN) (página 25) explicando el beneficio de esta técnica

  

Esta técnica de toma de huellas digitales ayuda a determinar el tipo de cliente   Código que ha enviado esta solicitud. Es posible bloquear recursos.   también para el cliente correcto en el lado del servidor también. Este tipo de   El encabezado es más difícil de agregar mediante rastreadores y robots automatizados ya que la lógica   y las llamadas deben ser entendidas primero. En consecuencia, los ataques automatizados.   en sus recursos Ajax se pueden evitar.

Sr. Shah está asumiendo que su método agrega seguridad porque está aprovechando la ignorancia del atacante de su método de solicitud.

Mi opinión personal es tratar esto como información falsa, o información obsoleta en el mejor de los casos.

Actualizar:

Ahora que lo pienso un poco más, creo que no he dirigido tu pregunta exacta

  

¿Hay algún beneficio de las huellas dactilares de Ajax?

No veo ningún beneficio de seguridad para eso en absoluto. podría existir algunos beneficios con respecto al uso de la aplicación. Un ejemplo sería una URL como esta

example.com/article/124

Es posible que desee ver el artículo cuando la página se visita normalmente y proporcionar la información en JSON o XML si se solicitó la misma URL con Ajax.

    
respondido por el Adi 18.02.2013 - 14:28
fuente

Lea otras preguntas en las etiquetas