Registrace nového uživatele     Návod     Kluby     Archív  Lopuchu     Lopuch.cz  

Což takhle
dát si Lopuch?

Lopuch.cz
Jméno:
Heslo:
Podpora LCD:
 
Klub PHP [ŽP: neomezená] (kategorie Programování) moderuje makovec.
Archiv
Diskuse o vybornem skriptovacim jazyku php. Dulezite odkazy, pred polozenim dotazu zkuste hledat odpoved zde:
  1. www.php.net - domovská stránka PHP
  2. www.kosek.cz - spousta tutorialu pro PHP v češtině
  Nastavení klubu     Nastavení práv     Homepage     Anketa     Přítomní     Oblíbené     Lopuch     Kategorie  
autor: 
text: 
vyplnit a 
Help
 Titulek, text příspěvku  
Opište pozpátku následující text bez prostředního znaku: bleszuq
[ 1845 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  
bredy 13.11.2009 14:29  2870
pepakDivím se, že nezakážeš třeba HTML jazyk. nebo XML jazyk. Co když v něm je bezpečnostní díra. A to nepočítám obrázky, třeba takový JPEG. Co kdyby obsahoval škodlivý kód?

Tohle je nesmysl.
pepak pepak - Pepak.net 13.11.2009 14:14  2869
Kdokoliv: Přesně tak. Věřím, že třeba javascript je sám o sobě bezpečný jazyk, ale implementaci nemá bezpečnou ani jednu. Když se k tomu přidá ta drobnost, že na mnou navštěvovaných stránkách vesměs není žádné užitečné (= pro mě přínosné) použití javascriptu, zato mnoho neužitečných nebo škodlivých, je volba jasná. Jestli to optimistům připadá jako paranoia, to je jejich smůla...
pepak pepak - Pepak.net 13.11.2009 14:10  2868
Tvx: Obecně: Cokoliv, co udělá browser v rámci XML requestu, může útočník zfalšovat i mimo browser/skript.

Pro tvůj konkrétní účel. Čekal bych, že tu komunikaci děláš přes nějakou funkci nebo objekt, které máš na webu jednou. Tak by neměl být problém přidat za dotaz nějaký neškodný parametr, kterým řekneš, že chceš vrátit JSON/XML (tzn. pokud normálně tvoje requesty vypadají jako http://www.mujserver.cz/ajax.php?id=123, tak bys na konec doplnil &ajax=1 - no a to ajax=1 už na serveru můžeš detekovat).
pepak pepak - Pepak.net 13.11.2009 14:06  2867
TheMajkl: Prakticky se mi to nestalo právě proto, že preferuji prevenci před následným odstraňováním škod. Ale třeba konkrétně k tomu javascriptu - asi před dvěma lety jsem si vzal 25 nejnovějších (myslím, že jen vážných a vyšších, ale tím už si nejsem jistý) děr ve Firefoxu podle Secunie a zkoumal, u kolika z nich by ty díry nemohly vůbec fungovat, pokud by uživatel měl javascript vypnutý (někdo mi tvrdil, že JS je bezpečný a ve Firefoxu zvlášť). Výsledek byl myslím poměrně názorný: 21 děr by nemělo vliv, 3 by fungovaly i bez JS, u jedné se nedalo rozhodnout.
tvx tvx Myslet si, že svět je JEN takový, jak - ho v daný čas můžeme pochopit je hloupé. 13.11.2009 13:47  2866
Jde nejak detekovat na serveru, ze si u nej request objednal browser pomoci xmlhttprequestu nebo jako "normalni request"? nebo ze se serverem prave komunikuje JS?
Cekam pesimisticky ze nikoli ale usetrilo by mi to praci kdyby ano:
resim popup okna pomoci JS ktera ale musi fungovat i pokud JS nebezi a ta moznost, ze si budu celou dobu tahat mezi formularem a serverem udaj zda odpoved ma byt ajaxova nebo plna minimlaisticka stranka se mi uz nelibi, neb to ani nelze nejak snadno automatizovat.

Soucasne by me zajimalo, co by se melo dit pokud jako odpoved na xmlhttp request dorazi treba Header: location...
Mozilla je z toho zmatena, tvari se ze zacne nahravat nejakou stranku a tim skonci...
themajkl themajkl All those moments will be lost in time - like tears in rain. 13.11.2009 13:24  2865
Já teda chápu, co teoreticky hrozí, ale už se to někomu někdy prakticky stalo? Myslím někomu z vás? Protože mi to občas přijde jako to příslovečné balení koláčků do igelitu, protože by se MOHLO něco stát.
kdokoliv Kdokoliv Nevidím důvod dělat cokoliv bezdůvodně. - http://kkl2401.wz.cz 13.11.2009 13:20  2864
Bredy [2862]: Ja myslim, ze pepak zrovna tohle docela tusi. Navic pepak se dokonce tak uplne nebrani proti rizikum tech technologii, ale hlavne proti rizikum spatne implementace tech technologii. Cemuz docela rozumim (kdyby muj prohlizec umel globalne zakazat JS a pouze udelovat vyjimky, tak to tak taky resim, bohuzel to tusim neumi). Ve chvili, kdy je dira v implementaci, tak at je technologie sebelepe vymyslena, rizika pouziti jsou absolutni (ziskani libovolnych dat, DoS, spusteni libovolneho kodu, ...), tudiz cim mene mist, kde se toto muze stat, tim lepe.
bredy 13.11.2009 13:09  2863
sorry... rizika.
bredy 13.11.2009 13:09  2862
pepakParanoia... protože evidentně nikdo netuší jaká bezpečnostní ryzika užíváním těch technologií (ne)hrozí..
pepak pepak - Pepak.net 13.11.2009 11:38  2861
Bredy: Někdo tomu říká paranoia, někdo bezpečné používání počítače.
bredy 13.11.2009 11:06  2860
pepak: Tak tomu se říká paranoia

MusMusMus: Ano, to je problem většiny prohlížečů, ale nemusel by. Například IE8 už tohle má vyřešený a myslím si, že Google taky. V IE8 za to může fakt, že každá záložka může být vlastněna jiným procesem, ale také nemusí. Funguje to tak, že prohlížeč otevírá novou záložku v novém procesu v případě, že není potřeba sdílet session cookies z původní, například když otevírám odkaz v nové záložce vedoucí mimo aktuální doménu.

Firefox a Opera toto tuším nepodporují. Chrome by to mohl podporovat, pokud jsem pochopil, každé okno je tam samostatný process.

Týká se jen session cookies, ty ostatní se samozřejmě sdílí.

Moje konfigurace
Povoluji javascript, povoluji cookies: session cookies a mám zakázáno posílat cookies prvkům, pokud jsou zobrazeny na stránce z jiné domény. Zakazuji flash, ale tady spíš z důvodu jeho náročnosti na CPU (a na NB související výdrž baterie). Místo flashe mám tlačítko, kterým mohu flash dodatečně aktivovat, třeba videa na youtube, Ostatní mám většinou povolené. Někdy mám zakázané obrázky z cizích serverů, ale dělá to problémy. Nicméně je lepší povolit cookies, než zakazovat prvky z cizích serverů kvůli refereru... To už pokud to jde, zapnout upravu refereru aby neobsahoval session id, pokud to prohlížeč/proxy umožňuje.
kdokoliv Kdokoliv Nevidím důvod dělat cokoliv bezdůvodně. - http://kkl2401.wz.cz 11.11.2009 21:58  2859
tvx [2856]: Ja se nezlobim, ja ty cookies mam proste jenom vypnuty. A ano, pocitam s tim, ze v takovem pripade nemohu mit sve nastaveni, ktere by si ta stranka pamatovala, mozna, ze si ani nezahlasuju (na druhou stranu tam je pouziti cookies dost diskutabilni) a podobne. Pokud mi ta stranka bude stat za to, abych tam sve nastaveni mit chtel, tak cookies zapnu.
V podstate jediny, co mi vadi, je, kdyz stranky bez cookies vubec nefunguji (pamatuju si nejakej obchod s DVDckama, kde si clovek proste nemohl ani prohlizet nabidku DVD, dokud ta cookies nezapnul).
musmusmus MusMusMus To je můj drak! - Jdi, a ulov si svýho!! 11.11.2009 14:23  2858
k uchovavani informaci v sessions/cookies - spousta vyvojaru zapomina na to, ze clovek muze browsit ve vice tabech, ktere session sdili, a dost casto tim vznikaji neprijemny chyby (v lepsim pripade typu "ev. ho obcas nevrati akce tam, odkud prisel (prihlaseni atd.)" ho to vrati na nesmyslne misto, v horsim se treba edituje uplne jina data nez si uzivatel mysli ze edituje)

pepak pepak - Pepak.net 11.11.2009 14:15  2857
No, mám postřehy z druhé strany barikády :-)

- Cookies - mám je vypnuté, ale nevadí mi, když je web používá. Jen si dej pozor, ať to jsou per-session cookies a ne permanentní cookies. pokud jde o bezpečnost session v URL, moc bych se toho nebál - pokud už někdo zakazuje cookies (a vynucuje si tak session v URL), tak většinou ví, co dělá, a tu bezpečnost si zajistí na jiné úrovni.

- Javascript - mám vypnutý a je velmi málo webů, kde jsem ochoten ho zapnout; většinou radši oželím obsah toho webu. Pokud máš vyloženě unikátní obsah a rozumný důvod pro javascript (viz ty Mapy), asi tě za něj nikdo nezfackuje.

- Flash - mám vypnutý a nejsem ochoten ho zapnout nikde. Pokud už výjimečně zapnu, tak výhradně ve virtuálním počítači a jen na dobu nezbytně nutnou. Nepoužívat na nic, bez čeho by se návštěvník nemohl obejít. Tzn. OK na titulek, reklamu nebo viry, nepoužívat na menu nebo formuláře.

- Doctype je úplně jedno, stejně to nikdo nekontroluje dál než jen ke zjištění, "mám/nemám použít striktní režim?"
tvx tvx Myslet si, že svět je JEN takový, jak - ho v daný čas můžeme pochopit je hloupé. 11.11.2009 12:52  2856
Řeším teď problémy jak moc počítat s technologickým zázemím uživatele a dodrzovat standardy a tak, Javascript, Cookies, Sessions, dodrzovani doctypu...

session se treba hodi na snadnou evidenci veci ktery jinak jak kokot vlacim celou cestu v url... ale uz vidim jak se KKL bude zlobit ze je spehovanej...
pridavani session do url zase neni uplne dobry co se tyka bezpecnosti...
uvazuju ze kdo nebude mit session proste bude mit smulu, nebude moci hlasovat v anketach, mit nejaky svoje nastaveni atd... ev. ho obcas nevrati akce tam, odkud prisel (prihlaseni atd.)

Javascript se snazim aby nebyl potreba ale uzivatel holt prijde casto o pohodli a cast funkcnosti kterou vetsinou ani neuvidi...
(koukal jsem ze treba snad jediny mapy (seznam/google) bez JS nefungujou)

a doctype drzim do ty miry aby dokuemnt sel rozparsovata le rad si ukladam vlastni datove atributy, pro praci s js.

mate k tomu nekdo svoje postrehy jak na to jdete, ev. nejaky ctivo?
[ 1845 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  

(c) 2001-2011 Lopuch.cz   
Kontakt