Registrace nového uživatele     Návod     Kluby     Archív  Lopuchu     Lopuch.cz  

Nudou jsi opuch?
Navštiv Lopuch!

Lopuch.cz

Jméno:
Heslo:
Podpora LCD:
 
Klub PHP [ŽP: neomezená] (kategorie Programování) moderuje makovec.
Archiv
Diskuse o vybornem skriptovacim jazyku php. Dulezite odkazy, pred polozenim dotazu zkuste hledat odpoved zde:
  1. www.php.net - domovská stránka PHP
  2. www.kosek.cz - spousta tutorialu pro PHP v češtině
  Nastavení klubu     Nastavení práv     Homepage     Anketa     Přítomní     Oblíbené     Lopuch     Kategorie  
autor: 
text: 
vyplnit a 
Help
 Titulek, text příspěvku  
Opište pozpátku následující text bez prostředního znaku: svsamxh
[ 1845 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  
bredy 13.11.2009 14:36  2875
KdokolivObdivuju Tvůj optimismus, že v ostatních technologiích je menší množství rizik. Onehdá si pamatuju bezpečnostní díru v IFrame i IE. Nešlo o žádnou extra technologii, a vypnutí javascriptu by ti nepomohlo. Holt jsou to jen dojmy.
tvx tvx Myslet si, že svět je JEN takový, jak - ho v daný čas můžeme pochopit je hloupé. 13.11.2009 14:33  2874
pepakno, prave to, cos mi poradil delam :) ale jaksi je to pruda, musim to vlacet porad sebou, ten priznak :)
kdokoliv Kdokoliv Nevidím důvod dělat cokoliv bezdůvodně. - http://kkl2401.wz.cz 13.11.2009 14:32  2873
Bredy [2870]: To neni nesmysl, to je minimalizace rizik. Samozrejme, ze muzes rizika minimalizovat i dal, napriklad tim, ze pocitac vypnes. Ale pokud pepak chodi na stranky, kde JS neni pouzit k nicemu pro nej uzitecnemu, proc by ho mel mit zapnutej? Vzdyt on prece nikomu dalsimu necpe "vypnete si Javascript, hlupaci".
bredy 13.11.2009 14:32  2872
tvxPokud přes ajax dorazí redirect s location, tak bych celkem logicky předpokládal, že prohlížeč udělá nový request na zadanou lokaci jako GET
kdokoliv Kdokoliv Nevidím důvod dělat cokoliv bezdůvodně. - http://kkl2401.wz.cz 13.11.2009 14:31  2871
themajkl [2865]: Tak treba na tu posledni flashovou diru, co zustala neopravena nehezky dlouho (a kdyby neprevzal iniciativu Firefox a nevymyslel vypnuti znamych deravych verzi pluginu a vyzvu k aktualizaci, tak starou verzi pouziva vetsina lidi doted), realne exploity existovaly, co si pamatuju. Ja osobne tim napaden, pokud vim, nebyl, ale nejspis taky proto, ze jsem, kdyz jsem to zjistil, pluginy vypnul a cekal na opravu, dilem nejspis proto, ze kdyz uz by nekdo napsal skodlivej kod, kterej by toho zneuzival, tezko by to cili na 64bitovej Linux, to je prilis nezajimava skupina uzivatelu.
tvx [2866]: Obecne to nezjistis, jedina moznost je, co pises, posilat si tam tu informaci rucne. Pokud jde o hlavicky, tak obavam se, ze tohle je na samostatnej pruzkum (at uz testovanim nebo googlenim, jestli to uz nekdo nedelal). Pri W3C sice vznika pro XMLHttpRequest specifikace, ale mam pocit, ze jeste neni uplne dokoncena a ze zrovna takovyhle veci tam zatim spis nebudou uvedeny (plus druha vec je samozrejme ta, jestli se na to da spolehnout).
Ale ted tak premejslim. Vzhledem k tomu, ze jednou z informaci, co o tom requestu (respektive o odpovedi na nej) dostanes, je kod ty odpovedi, tak si muzes zkusit danej kod odchytit a koukat, kde se co jak stane. Nebo nahod Firebug a podobne nastroje, ty umej zobrazovat i sitovou komunikaci.
bredy 13.11.2009 14:29  2870
pepakDivím se, že nezakážeš třeba HTML jazyk. nebo XML jazyk. Co když v něm je bezpečnostní díra. A to nepočítám obrázky, třeba takový JPEG. Co kdyby obsahoval škodlivý kód?

Tohle je nesmysl.
pepak pepak - Pepak.net 13.11.2009 14:14  2869
Kdokoliv: Přesně tak. Věřím, že třeba javascript je sám o sobě bezpečný jazyk, ale implementaci nemá bezpečnou ani jednu. Když se k tomu přidá ta drobnost, že na mnou navštěvovaných stránkách vesměs není žádné užitečné (= pro mě přínosné) použití javascriptu, zato mnoho neužitečných nebo škodlivých, je volba jasná. Jestli to optimistům připadá jako paranoia, to je jejich smůla...
pepak pepak - Pepak.net 13.11.2009 14:10  2868
Tvx: Obecně: Cokoliv, co udělá browser v rámci XML requestu, může útočník zfalšovat i mimo browser/skript.

Pro tvůj konkrétní účel. Čekal bych, že tu komunikaci děláš přes nějakou funkci nebo objekt, které máš na webu jednou. Tak by neměl být problém přidat za dotaz nějaký neškodný parametr, kterým řekneš, že chceš vrátit JSON/XML (tzn. pokud normálně tvoje requesty vypadají jako http://www.mujserver.cz/ajax.php?id=123, tak bys na konec doplnil &ajax=1 - no a to ajax=1 už na serveru můžeš detekovat).
pepak pepak - Pepak.net 13.11.2009 14:06  2867
TheMajkl: Prakticky se mi to nestalo právě proto, že preferuji prevenci před následným odstraňováním škod. Ale třeba konkrétně k tomu javascriptu - asi před dvěma lety jsem si vzal 25 nejnovějších (myslím, že jen vážných a vyšších, ale tím už si nejsem jistý) děr ve Firefoxu podle Secunie a zkoumal, u kolika z nich by ty díry nemohly vůbec fungovat, pokud by uživatel měl javascript vypnutý (někdo mi tvrdil, že JS je bezpečný a ve Firefoxu zvlášť). Výsledek byl myslím poměrně názorný: 21 děr by nemělo vliv, 3 by fungovaly i bez JS, u jedné se nedalo rozhodnout.
tvx tvx Myslet si, že svět je JEN takový, jak - ho v daný čas můžeme pochopit je hloupé. 13.11.2009 13:47  2866
Jde nejak detekovat na serveru, ze si u nej request objednal browser pomoci xmlhttprequestu nebo jako "normalni request"? nebo ze se serverem prave komunikuje JS?
Cekam pesimisticky ze nikoli ale usetrilo by mi to praci kdyby ano:
resim popup okna pomoci JS ktera ale musi fungovat i pokud JS nebezi a ta moznost, ze si budu celou dobu tahat mezi formularem a serverem udaj zda odpoved ma byt ajaxova nebo plna minimlaisticka stranka se mi uz nelibi, neb to ani nelze nejak snadno automatizovat.

Soucasne by me zajimalo, co by se melo dit pokud jako odpoved na xmlhttp request dorazi treba Header: location...
Mozilla je z toho zmatena, tvari se ze zacne nahravat nejakou stranku a tim skonci...
themajkl themajkl All those moments will be lost in time - like tears in rain. 13.11.2009 13:24  2865
Já teda chápu, co teoreticky hrozí, ale už se to někomu někdy prakticky stalo? Myslím někomu z vás? Protože mi to občas přijde jako to příslovečné balení koláčků do igelitu, protože by se MOHLO něco stát.
kdokoliv Kdokoliv Nevidím důvod dělat cokoliv bezdůvodně. - http://kkl2401.wz.cz 13.11.2009 13:20  2864
Bredy [2862]: Ja myslim, ze pepak zrovna tohle docela tusi. Navic pepak se dokonce tak uplne nebrani proti rizikum tech technologii, ale hlavne proti rizikum spatne implementace tech technologii. Cemuz docela rozumim (kdyby muj prohlizec umel globalne zakazat JS a pouze udelovat vyjimky, tak to tak taky resim, bohuzel to tusim neumi). Ve chvili, kdy je dira v implementaci, tak at je technologie sebelepe vymyslena, rizika pouziti jsou absolutni (ziskani libovolnych dat, DoS, spusteni libovolneho kodu, ...), tudiz cim mene mist, kde se toto muze stat, tim lepe.
bredy 13.11.2009 13:09  2863
sorry... rizika.
bredy 13.11.2009 13:09  2862
pepakParanoia... protože evidentně nikdo netuší jaká bezpečnostní ryzika užíváním těch technologií (ne)hrozí..
pepak pepak - Pepak.net 13.11.2009 11:38  2861
Bredy: Někdo tomu říká paranoia, někdo bezpečné používání počítače.

[ 1845 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  

(c) 2001-2011 Lopuch.cz   
Kontakt