Registrace nového uživatele     Návod     Kluby     Archív  Lopuchu     Lopuch.cz  

Komu se nelení,
tomu se zelení.

Lopuch.cz

Jméno:
Heslo:
Podpora LCD:
 
Klub PHP [ŽP: neomezená] (kategorie Programování) moderuje makovec.
Archiv
Diskuse o vybornem skriptovacim jazyku php. Dulezite odkazy, pred polozenim dotazu zkuste hledat odpoved zde:
  1. www.php.net - domovská stránka PHP
  2. www.kosek.cz - spousta tutorialu pro PHP v češtině
  Nastavení klubu     Nastavení práv     Homepage     Anketa     Přítomní     Oblíbené     Lopuch     Kategorie  
autor: 
text: 
vyplnit a 
Help
 Titulek, text příspěvku  
Opište pozpátku následující text bez prostředního znaku: rsryfns
[ 1845 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  
themajkl themajkl All those moments will be lost in time - like tears in rain. 13.11.2009 15:37  2882
MusMusMus [2881]: Ne jestli obtěžují, jestli využívají bezpečnostní díru. Předpokládám, že "obtěžování" asi nebude chybou implementace, nebo jo?
musmusmus MusMusMus To je můj drak! - Jdi, a ulov si svýho!! 13.11.2009 15:29  2881
themajkl [2865]: jestli se mi prakticky stalo, ze me javascriptovy vychytavky obtezuji? ano, stalo. proto ho globalne vypinam a zapinam pouze pro par konkretnich stranek
kdokoliv Kdokoliv Nevidím důvod dělat cokoliv bezdůvodně. - http://kkl2401.wz.cz 13.11.2009 14:49  2880
Bredy [2875]: Cemu na snizovani poctu pouzitych technologii (a tedy pravdepodobnosti, ze dira bude v te, kterou mas zapnutou) nerozumis? Trochu premyslej, nez se zacnes ohanet placebem. Nikdo tu nikdy netvrdil, ze je to dvoustavove "mam zapnuto == jsem v nebezpeci, mam vypnuto == jsem ochranen".
pepak pepak - Pepak.net 13.11.2009 14:42  2879
Bredy [2875]: V tom případě bych ti doporučil vypovědět všechny pojistky, při přecházení přes silnici se nerozhlížet, dívat se do hlavní nabitých zbraní atd. Vždyť o co jde? Stejně se klidně může stát, že se Země srazí s meteorem a ty zemřeš i přes všechna tahle zbytečná bezpečnostní opatření...
pepak pepak - Pepak.net 13.11.2009 14:40  2878
Bredy: Pro mě za mě si dělej co chceš. Dokud nebudu muset tvůj počítač každé dva dny odvirovávat a každý třetí týden přeinstalovávat, je mi úplně jedno, co si s ním děláš a jakým způsobem zajišťuješ jeho bezpečnost. Pro mě za mě se spoléhej na to, že výrobce tvého prohlížeče / operačního systému / antiviru / atd. vydá opravu dost rychle na to, aby sis ji ještě stihl nainstalovat. Já to každopádně řadši řeším tím, že drtivou většinu rizik odfiltruju ještě před tím, než vůbec tyhle opravy začnou být relevantní.
tvx tvx Myslet si, že svět je JEN takový, jak - ho v daný čas můžeme pochopit je hloupé. 13.11.2009 14:39  2877
To uz je nejlepsi to co delam ja pokud vim ze lezu nekam kde je svinstvo a to ze surfuju ve virtualni masine :)
bredy 13.11.2009 14:36  2876
Klidně si to vypínejte... je to jako brát placebo... člověk se cítí lépe :-)
bredy 13.11.2009 14:36  2875
KdokolivObdivuju Tvůj optimismus, že v ostatních technologiích je menší množství rizik. Onehdá si pamatuju bezpečnostní díru v IFrame i IE. Nešlo o žádnou extra technologii, a vypnutí javascriptu by ti nepomohlo. Holt jsou to jen dojmy.
tvx tvx Myslet si, že svět je JEN takový, jak - ho v daný čas můžeme pochopit je hloupé. 13.11.2009 14:33  2874
pepakno, prave to, cos mi poradil delam :) ale jaksi je to pruda, musim to vlacet porad sebou, ten priznak :)
kdokoliv Kdokoliv Nevidím důvod dělat cokoliv bezdůvodně. - http://kkl2401.wz.cz 13.11.2009 14:32  2873
Bredy [2870]: To neni nesmysl, to je minimalizace rizik. Samozrejme, ze muzes rizika minimalizovat i dal, napriklad tim, ze pocitac vypnes. Ale pokud pepak chodi na stranky, kde JS neni pouzit k nicemu pro nej uzitecnemu, proc by ho mel mit zapnutej? Vzdyt on prece nikomu dalsimu necpe "vypnete si Javascript, hlupaci".
bredy 13.11.2009 14:32  2872
tvxPokud přes ajax dorazí redirect s location, tak bych celkem logicky předpokládal, že prohlížeč udělá nový request na zadanou lokaci jako GET
kdokoliv Kdokoliv Nevidím důvod dělat cokoliv bezdůvodně. - http://kkl2401.wz.cz 13.11.2009 14:31  2871
themajkl [2865]: Tak treba na tu posledni flashovou diru, co zustala neopravena nehezky dlouho (a kdyby neprevzal iniciativu Firefox a nevymyslel vypnuti znamych deravych verzi pluginu a vyzvu k aktualizaci, tak starou verzi pouziva vetsina lidi doted), realne exploity existovaly, co si pamatuju. Ja osobne tim napaden, pokud vim, nebyl, ale nejspis taky proto, ze jsem, kdyz jsem to zjistil, pluginy vypnul a cekal na opravu, dilem nejspis proto, ze kdyz uz by nekdo napsal skodlivej kod, kterej by toho zneuzival, tezko by to cili na 64bitovej Linux, to je prilis nezajimava skupina uzivatelu.
tvx [2866]: Obecne to nezjistis, jedina moznost je, co pises, posilat si tam tu informaci rucne. Pokud jde o hlavicky, tak obavam se, ze tohle je na samostatnej pruzkum (at uz testovanim nebo googlenim, jestli to uz nekdo nedelal). Pri W3C sice vznika pro XMLHttpRequest specifikace, ale mam pocit, ze jeste neni uplne dokoncena a ze zrovna takovyhle veci tam zatim spis nebudou uvedeny (plus druha vec je samozrejme ta, jestli se na to da spolehnout).
Ale ted tak premejslim. Vzhledem k tomu, ze jednou z informaci, co o tom requestu (respektive o odpovedi na nej) dostanes, je kod ty odpovedi, tak si muzes zkusit danej kod odchytit a koukat, kde se co jak stane. Nebo nahod Firebug a podobne nastroje, ty umej zobrazovat i sitovou komunikaci.
bredy 13.11.2009 14:29  2870
pepakDivím se, že nezakážeš třeba HTML jazyk. nebo XML jazyk. Co když v něm je bezpečnostní díra. A to nepočítám obrázky, třeba takový JPEG. Co kdyby obsahoval škodlivý kód?

Tohle je nesmysl.
pepak pepak - Pepak.net 13.11.2009 14:14  2869
Kdokoliv: Přesně tak. Věřím, že třeba javascript je sám o sobě bezpečný jazyk, ale implementaci nemá bezpečnou ani jednu. Když se k tomu přidá ta drobnost, že na mnou navštěvovaných stránkách vesměs není žádné užitečné (= pro mě přínosné) použití javascriptu, zato mnoho neužitečných nebo škodlivých, je volba jasná. Jestli to optimistům připadá jako paranoia, to je jejich smůla...
pepak pepak - Pepak.net 13.11.2009 14:10  2868
Tvx: Obecně: Cokoliv, co udělá browser v rámci XML requestu, může útočník zfalšovat i mimo browser/skript.

Pro tvůj konkrétní účel. Čekal bych, že tu komunikaci děláš přes nějakou funkci nebo objekt, které máš na webu jednou. Tak by neměl být problém přidat za dotaz nějaký neškodný parametr, kterým řekneš, že chceš vrátit JSON/XML (tzn. pokud normálně tvoje requesty vypadají jako http://www.mujserver.cz/ajax.php?id=123, tak bys na konec doplnil &ajax=1 - no a to ajax=1 už na serveru můžeš detekovat).

[ 1845 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  

(c) 2001-2011 Lopuch.cz   
Kontakt