Registrace nového uživatele     Návod     Kluby     Archív  Lopuchu     Lopuch.cz  

Komu se nelení,
tomu se zelení.

Lopuch.cz

Jméno:
Heslo:
Podpora LCD:
 
Klub PHP [ŽP: neomezená] (kategorie Programování) moderuje makovec.
Archiv
Diskuse o vybornem skriptovacim jazyku php. Dulezite odkazy, pred polozenim dotazu zkuste hledat odpoved zde:
  1. www.php.net - domovská stránka PHP
  2. www.kosek.cz - spousta tutorialu pro PHP v češtině
  Nastavení klubu     Nastavení práv     Homepage     Anketa     Přítomní     Oblíbené     Lopuch     Kategorie  
autor: 
text: 
vyplnit a 
Help
 Titulek, text příspěvku  
Opište pozpátku následující text bez prostředního znaku: ebourct
[ 1845 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  
tvx tvx Myslet si, že svět je JEN takový, jak - ho v daný čas můžeme pochopit je hloupé. 13.11.2009 14:33  2874
pepakno, prave to, cos mi poradil delam :) ale jaksi je to pruda, musim to vlacet porad sebou, ten priznak :)
kdokoliv Kdokoliv Nevidím důvod dělat cokoliv bezdůvodně. - http://kkl2401.wz.cz 13.11.2009 14:32  2873
Bredy [2870]: To neni nesmysl, to je minimalizace rizik. Samozrejme, ze muzes rizika minimalizovat i dal, napriklad tim, ze pocitac vypnes. Ale pokud pepak chodi na stranky, kde JS neni pouzit k nicemu pro nej uzitecnemu, proc by ho mel mit zapnutej? Vzdyt on prece nikomu dalsimu necpe "vypnete si Javascript, hlupaci".
bredy 13.11.2009 14:32  2872
tvxPokud přes ajax dorazí redirect s location, tak bych celkem logicky předpokládal, že prohlížeč udělá nový request na zadanou lokaci jako GET
kdokoliv Kdokoliv Nevidím důvod dělat cokoliv bezdůvodně. - http://kkl2401.wz.cz 13.11.2009 14:31  2871
themajkl [2865]: Tak treba na tu posledni flashovou diru, co zustala neopravena nehezky dlouho (a kdyby neprevzal iniciativu Firefox a nevymyslel vypnuti znamych deravych verzi pluginu a vyzvu k aktualizaci, tak starou verzi pouziva vetsina lidi doted), realne exploity existovaly, co si pamatuju. Ja osobne tim napaden, pokud vim, nebyl, ale nejspis taky proto, ze jsem, kdyz jsem to zjistil, pluginy vypnul a cekal na opravu, dilem nejspis proto, ze kdyz uz by nekdo napsal skodlivej kod, kterej by toho zneuzival, tezko by to cili na 64bitovej Linux, to je prilis nezajimava skupina uzivatelu.
tvx [2866]: Obecne to nezjistis, jedina moznost je, co pises, posilat si tam tu informaci rucne. Pokud jde o hlavicky, tak obavam se, ze tohle je na samostatnej pruzkum (at uz testovanim nebo googlenim, jestli to uz nekdo nedelal). Pri W3C sice vznika pro XMLHttpRequest specifikace, ale mam pocit, ze jeste neni uplne dokoncena a ze zrovna takovyhle veci tam zatim spis nebudou uvedeny (plus druha vec je samozrejme ta, jestli se na to da spolehnout).
Ale ted tak premejslim. Vzhledem k tomu, ze jednou z informaci, co o tom requestu (respektive o odpovedi na nej) dostanes, je kod ty odpovedi, tak si muzes zkusit danej kod odchytit a koukat, kde se co jak stane. Nebo nahod Firebug a podobne nastroje, ty umej zobrazovat i sitovou komunikaci.
bredy 13.11.2009 14:29  2870
pepakDivím se, že nezakážeš třeba HTML jazyk. nebo XML jazyk. Co když v něm je bezpečnostní díra. A to nepočítám obrázky, třeba takový JPEG. Co kdyby obsahoval škodlivý kód?

Tohle je nesmysl.
pepak pepak - Pepak.net 13.11.2009 14:14  2869
Kdokoliv: Přesně tak. Věřím, že třeba javascript je sám o sobě bezpečný jazyk, ale implementaci nemá bezpečnou ani jednu. Když se k tomu přidá ta drobnost, že na mnou navštěvovaných stránkách vesměs není žádné užitečné (= pro mě přínosné) použití javascriptu, zato mnoho neužitečných nebo škodlivých, je volba jasná. Jestli to optimistům připadá jako paranoia, to je jejich smůla...
pepak pepak - Pepak.net 13.11.2009 14:10  2868
Tvx: Obecně: Cokoliv, co udělá browser v rámci XML requestu, může útočník zfalšovat i mimo browser/skript.

Pro tvůj konkrétní účel. Čekal bych, že tu komunikaci děláš přes nějakou funkci nebo objekt, které máš na webu jednou. Tak by neměl být problém přidat za dotaz nějaký neškodný parametr, kterým řekneš, že chceš vrátit JSON/XML (tzn. pokud normálně tvoje requesty vypadají jako http://www.mujserver.cz/ajax.php?id=123, tak bys na konec doplnil &ajax=1 - no a to ajax=1 už na serveru můžeš detekovat).
pepak pepak - Pepak.net 13.11.2009 14:06  2867
TheMajkl: Prakticky se mi to nestalo právě proto, že preferuji prevenci před následným odstraňováním škod. Ale třeba konkrétně k tomu javascriptu - asi před dvěma lety jsem si vzal 25 nejnovějších (myslím, že jen vážných a vyšších, ale tím už si nejsem jistý) děr ve Firefoxu podle Secunie a zkoumal, u kolika z nich by ty díry nemohly vůbec fungovat, pokud by uživatel měl javascript vypnutý (někdo mi tvrdil, že JS je bezpečný a ve Firefoxu zvlášť). Výsledek byl myslím poměrně názorný: 21 děr by nemělo vliv, 3 by fungovaly i bez JS, u jedné se nedalo rozhodnout.
tvx tvx Myslet si, že svět je JEN takový, jak - ho v daný čas můžeme pochopit je hloupé. 13.11.2009 13:47  2866
Jde nejak detekovat na serveru, ze si u nej request objednal browser pomoci xmlhttprequestu nebo jako "normalni request"? nebo ze se serverem prave komunikuje JS?
Cekam pesimisticky ze nikoli ale usetrilo by mi to praci kdyby ano:
resim popup okna pomoci JS ktera ale musi fungovat i pokud JS nebezi a ta moznost, ze si budu celou dobu tahat mezi formularem a serverem udaj zda odpoved ma byt ajaxova nebo plna minimlaisticka stranka se mi uz nelibi, neb to ani nelze nejak snadno automatizovat.

Soucasne by me zajimalo, co by se melo dit pokud jako odpoved na xmlhttp request dorazi treba Header: location...
Mozilla je z toho zmatena, tvari se ze zacne nahravat nejakou stranku a tim skonci...
themajkl themajkl All those moments will be lost in time - like tears in rain. 13.11.2009 13:24  2865
Já teda chápu, co teoreticky hrozí, ale už se to někomu někdy prakticky stalo? Myslím někomu z vás? Protože mi to občas přijde jako to příslovečné balení koláčků do igelitu, protože by se MOHLO něco stát.
kdokoliv Kdokoliv Nevidím důvod dělat cokoliv bezdůvodně. - http://kkl2401.wz.cz 13.11.2009 13:20  2864
Bredy [2862]: Ja myslim, ze pepak zrovna tohle docela tusi. Navic pepak se dokonce tak uplne nebrani proti rizikum tech technologii, ale hlavne proti rizikum spatne implementace tech technologii. Cemuz docela rozumim (kdyby muj prohlizec umel globalne zakazat JS a pouze udelovat vyjimky, tak to tak taky resim, bohuzel to tusim neumi). Ve chvili, kdy je dira v implementaci, tak at je technologie sebelepe vymyslena, rizika pouziti jsou absolutni (ziskani libovolnych dat, DoS, spusteni libovolneho kodu, ...), tudiz cim mene mist, kde se toto muze stat, tim lepe.
bredy 13.11.2009 13:09  2863
sorry... rizika.
bredy 13.11.2009 13:09  2862
pepakParanoia... protože evidentně nikdo netuší jaká bezpečnostní ryzika užíváním těch technologií (ne)hrozí..
pepak pepak - Pepak.net 13.11.2009 11:38  2861
Bredy: Někdo tomu říká paranoia, někdo bezpečné používání počítače.
bredy 13.11.2009 11:06  2860
pepak: Tak tomu se říká paranoia

MusMusMus: Ano, to je problem většiny prohlížečů, ale nemusel by. Například IE8 už tohle má vyřešený a myslím si, že Google taky. V IE8 za to může fakt, že každá záložka může být vlastněna jiným procesem, ale také nemusí. Funguje to tak, že prohlížeč otevírá novou záložku v novém procesu v případě, že není potřeba sdílet session cookies z původní, například když otevírám odkaz v nové záložce vedoucí mimo aktuální doménu.

Firefox a Opera toto tuším nepodporují. Chrome by to mohl podporovat, pokud jsem pochopil, každé okno je tam samostatný process.

Týká se jen session cookies, ty ostatní se samozřejmě sdílí.

Moje konfigurace
Povoluji javascript, povoluji cookies: session cookies a mám zakázáno posílat cookies prvkům, pokud jsou zobrazeny na stránce z jiné domény. Zakazuji flash, ale tady spíš z důvodu jeho náročnosti na CPU (a na NB související výdrž baterie). Místo flashe mám tlačítko, kterým mohu flash dodatečně aktivovat, třeba videa na youtube, Ostatní mám většinou povolené. Někdy mám zakázané obrázky z cizích serverů, ale dělá to problémy. Nicméně je lepší povolit cookies, než zakazovat prvky z cizích serverů kvůli refereru... To už pokud to jde, zapnout upravu refereru aby neobsahoval session id, pokud to prohlížeč/proxy umožňuje.

[ 1845 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  

(c) 2001-2011 Lopuch.cz   
Kontakt