poprzednia
strona ------------- następna
strona From: Konrad Kosmowski <konrad[]kosmosik.net> Subject: Re: Co JS =?ISO-8859-2?Q?mo=BFe?= a czego nie? Date: Tue, 6 Nov 2007 18:22:22 +0100
** porneL wrote:
>> Dodatkowo powiedzmy, że używam menadżera haseł w Firefoksie (podaje mu
>> jeżeli wypada master password oraz od tego momentu przeglądarka ma +/- ma
>> dostęp do haseł dla danej domeny/realmu).
> Chyba już menedżera haseł poprawiono w Fx, nie? Jak nie, to wystarczy zgapić
> bezpieczne rozwiązanie Opery :> https://blueimp.net/mozilla/Secure%20Login/
Hmm ale mi nie o to chodzi. Przypuśćmy, że loguję się do jakiegoś serwisu,
odpala się PSM, podaje master password oraz w tym momencie w serwisie tworzona
jest sesja oraz jestem zalogowany.
Czy przez ten czas co już jestem zalogowany JS np. z innej witryny może uczynić
(wydaje mi się, że może) requesta HTTP do tej pierwszej strony gdzie jestem
zalogowany?
>> Czy może wysyłać HTTPowe requesty na dowolny adres?
> Może: image.src = url.
Heh to da się np. komuś puścić w ten sposób 5000 wydruków testowych via lokalny
CUPS. ;)
> Z odczytaniem odpowiedzi spoza domeny jest gorzej. Da się, jeśli plik jest
> zgodny ze składnią JavaScript (tak jakiś czas temu kradziono kontakty z
> GMail) oraz w IE6 da się próbować odczytywać wszystko jako arkusze CSS.
Masakra.
> W przypadku HTTPS strona atakowana oraz atakująca muszą posiadać certyfikat.
Ehe.
>> Czy może wysyłać HTTPowe POST requesty na dowolny adres?
> Może. Wystarczy uczynić oraz odpalić form.submit(); Strony HTTP mogą nawet
> bez podnoszenia alarmu wysyłać dane do dowolnych stron HTTPS oraz przeglądarki
> tego nie zabezpieczą z powodu, o ironio, dziurawych stron banków oraz bramek
> płatniczych, które na tym polegają.
Masakra.
>> Jakieś szanse zapisania danych z pewnością ma, np. cookie, ale czy może
>> odwoływać się do cache oraz tam np. zapisywać zmienne w skrypcie JS o
>> unikatowej nazwie celem składowania danych?
> sporo nowych rzeczy dających dostęp do cache oraz składowania danych lokalnie
> będzie w HTML5. Celem jest zrobienie czegoś a'la GoogleGears, czyli
> umożliwienie działania GMail/GoogleDocs, itp. off-line. W Firefox 3 jest już
> składowanie dowolnych danych w kontekście okna oraz domeny, a od paru dni nocne
> buildy Safari udostępniają nawet całą bazę SQL JavaScriptowi.
No to niech przy okazji zrobią doskonały mechanizm do kontroli dostępu do takich
mechanizmów. oraz to raczej bardziej na zasadzie białej listy.
> W obecnych przeglądarkach da się wykorzystać cache jak cookies - wrabiasz
> przeglądarkę w cache'owanie skryptu, który ma zmienną z przypisanym unikalnym
> ID oraz ją odsyła serwerowi. Do szpiegowania i składowania pojedynczych bitów
> informacji da się nadużywać CSSowego :visited.
:)
> Do szpiegowania nadają się także applety Java. Przy przechodzeniu między
> stronami nie są restartowane, a wyłącznie pauzowane, zatem da się nimi uczynić
> tracker który będzie śledził sesję nawet bez JS, cookie oraz przetrwa
> czyszczenie cache.
Masakra.
>> Czy może modyfikować nagłówki HTTP np. żeby w komunikacji z proxy przekazywać
>> dane wewnątrz nagłówków negocjujących daty plików?
> Nie wiem jak obecnie, ale przez długi czas wtyczka Flash dawała się wrabiać
> w fałszowanie nagłówków (np. dorzucanie dowolnego Referera). Googlnij co
> teraz jest modne do "request/response splitting/smuggling".
Masakra.
>> Czy jeżeli zapisałem sobie w Firefoksowym PSM hasło do jakiejś witryny to
>> skrypt JS działający w "odbezpieczonej" (podałem hasło do PSM) przeglądarce
>> może nawiązywać z tą witryną połączenia tak jakbym to JA był w niej
>> zalogowany?
> Tak, od momentu, gdy jesteś zalogowany za pomocą sesji w cookie. To się
> nazywa atak CSRF oraz jest przerażająco proste do wykonania.
Masakra.
> Jeśli strona ma jakąkolwiek dziurę XSS (a 90% stron ma, w szczególności
> 99.98% stron ludzi twierdzących, że PHP albo Smarty są OK do szablonów), to
> nie da się jej zabezpieczyć przed CSRF oraz każda inna strona może bez twojej
> wiedzy odczytać wszystko to, co ty oraz może wykonywać dowolne operacje w twoim
> imieniu.
fv pisze:
> n.rafal wrote:
>> Z drugiej strony nie daje to uprawnień do wnioskowania _nie_zrobił_ kodu
>> zgodnego, jest kiepski, bo to, że nie zrobił w ogóle nie znaczy, że nie
>> umie. Pytanie wyłącznie - skoro umie, to dlaczego nie zrobił? ;)
>
> Możliwe warianty:
> a) nie było rozkazu a modyfikowano stary (całkowicie niezgodny) kod
Tu się zgadzam.
> b) nie opłacało się o to zadbać ze względu na limit finansowy
> c) nie było czasu
Jak się klika we FP czy innym DW to faktycznie, może nie być czasu na
poprawianie ich wybryków ;]
> d) tak było łatwiej a z dodatkowych poprawek trzebaby się tłumaczyć
> e) poprawne względem walidatora/sztuki rozwiązanie wyjątkowo kłopotliwie modyfikować,
> w każdej przeglądarce wygląda inaczej lub po prostu waży sporo więcej niż niezgodne
Urban legend.
[8 Tematu e) będę bronił do upadłego[1] - są sytuacje gdzie na standardy po prostu nie
> ma miejsca. Przykłady:
> 1. formularz wymagający js do walidacji posiada przyciski gatunku Co naturalnie wymusza włączony js. wyjątkowo proste oraz niezwykle skuteczne.
A onsubmit to pies? tylko mi nie pisz, że nie walidujesz formularza
także po stronie serwera.
> 2. Pole tekstowe wraz z labelem najłatwiej jest wyśrodkować w pionie używając tabelki.
> Nie podoba mi się position:relative; z setkami haków na każdą przeglądarkę.
Z inputem to nie problem, z textarea faktycznie może być zgryz. Całe
szczęście projekty które robiłem miały label wyrównany do górnej
krawędzi (wyśrodkowanie w pionie MSZ beznadziejnie wygląda).
> 3. jeśli do łatwego oraz czytelnego kodu js i/lub ograniczonego wagowo kodu potrzebne są
> niestandardowe atrybuty dla elementów, to je dodaję (np. gdy w potężnej tabelce niektóre
> komórki pełnią specjalne role przy kilku kryteriach, tak że wpisywanie tam onclick=
> powodowałoby potęzny rozrost kodu oraz jego zagmatwanie, piszę
> oraz mam gdzieś w3org).
A tego bez przykładu nie ma co komentować.
> [1] albo do czasu, gdy znajdzie się rozwiązanie zgodne z w3c a niegorsze.
Samo się nie znajdzie, należy poszukać ;]
From: qpon <jsolowiej[]gmail.com> Subject: Re: css i problemy z ie6 Date: Tue, 11 Sep 2007 05:40:09 -0700
On 11 Wrz, 11:59, adrin wrote:
> mo=BFe mi kto=B6 jako=B6 pom=F3c w znalezieniu workaround albo wytkni=EAc=
iu b=B3=EAd=F3w?
> b=EAd=EA wyjątkowo wdzi=EAczny ...
kod css na stronie wyswietlasz?
Jak tak, to brakuje mi html, head oraz body, nie wspominajac o doctype.
ps. html mam sobie sam dorobic na podstawie css? (nie odpowiadaj)
>> > bo nie mam możliwość ustawić w CSS ach, tzn zaookrągla do całkowitej, da się to
>> > jakoś ominąć etc? chyba nie, ale się zapytam bo będe musiał wszystko
>> > przerabiać na piksle :// definiuje tak: width:32.5%
>>
>> A nie możesz wymieszać elementów po 32% oraz 33%?
>>
>
> Nie, muszą być wymierzona co do piksela, czy tam dwóch, a tak 1% przy np.
> szerokości 900px to aż 9 pikseli. Okey, czyli się nie da?
W IE by się dało zhackować przez expression, ale Opera także zakrągla, a na
nią nie mam lepszej rady, niż 'poczekać do następnej wersji'.
> Muszę albowiem przygotować równania z ,,klamerką''. W jaki sposób osadzić
> następujące równanie na stronie ? MathML, zdaje się, nie jest obsługiwany
> przez wszystkie przeglądarki. Jedyną znaną mi alternatywąjest osadzenie
> rysunku.
MathML jak na razie obsługują Gecko (Firefox na przykład) oraz wersja alpha
Opery. Moim zdaniem najlepiej uczynić to przez dołączanie obrazków, tak jak
np. w Wikipedii (a w atrybucie alt skromnie opisać działania lub opis gatunku
równanie 1.1). Ewentualnie możesz również przygotować źródła w LaTeX-u
(zależnie od tego jaka jest grupa docelowa tej strony).