Referer para protección de páginas o no?

[jdc]

En realidad no lo quiero implementar, sino que lo estoy proponiendo como una forma más de proteger... Por ejemplo en vez de mostrar un mensaje sí no viene del referer correcto se nuestra una página 404... Lo del web form es una alternativa pero volveríamos a lo actual xD ya y habría que proteger el web form...

De todas maneras lo veo como complemento para las demás técnicas usadas actualmente, y para uso completamente personal, porque para un cliente pfff xD

[дٳŦ٭]

el referer proviene de los heardes que mande el browser, es muy facil de spoofear.. Te sirve como medida de seguridad secundaria. Saludos.

[jdc]

Se que es sencillo modificar el referer pero para ello debes saber que referer es el que se pide no?

Alguien ha leído el post?

[WHK]

se puede spoofear y no sirve ni como medida de protección secundaria ni tercera ni ultima ya que no puedes dar un tipo de protección que sabes que puede ser falseado. Si el sistema tiene xss también puede obtenerse la referencia desde javascript y enviar cada dato al atacante asi que mejor te recomiendo a lo mortal... user y pass.

[jdc]

se puede spoofear y no sirve ni como medida de protección secundaria ni tercera ni ultima ya que no puedes dar un tipo de protección que sabes que puede ser falseado. Si el sistema tiene xss también puede obtenerse la referencia desde  ‫ ‫javascript y enviar cada dato al atacante asi que mejor te recomiendo a lo mortal... user y pass.

No entiendo porque todos dicen que es facil de spoofear como si yo lo hubiese negado ¬¬ en eso estamos completamente de acuerdo...

Se que me arrepentire de esto pero:

http://holamundo.cl/prueba.php

Entra... cambie el referer.

PD: Corrigeme si me equivoco... si el sistema como dices tuviera XSS me podrias mandar una URL modificada pero eso no te diria nada, yo por lo menos cambio el referer con opera al estilo chapuza que te comente hace un tiempo por MSN xD recuerdas? por lo que seria dificil robarme el referer