Показать сообщение отдельно
  #20 (permalink)  
Старый 17.04.2011, 10:33
Аватар для x-yuri
Отправить личное сообщение для x-yuri Посмотреть профиль Найти все сообщения от x-yuri
 
Регистрация: 27.12.2008
Сообщений: 4,201

Сообщение от FINoM
Если я не ошибаюсь, в хроме уже достаточно давно работают сокеты и никому от этого плохо еще не стало.
http://en.wikipedia.org/wiki/WebSock...ting_WebSocket
Цитата:
Chrome also plans to disable the WebSocket if actual exploit code appears before the protocol is revised.
просто уязвимость существует, а как к этому относятся производители браузеров - другой вопрос. Как видим, мнения разделились. Может быть для твоего приложения это не важно, но это может быть важно для кого-то другого

Сообщение от FINoM
Эм.. А какая разница? Используется ведь один протокол, просто там реализация в браузере нативная, а там через флеш.
нет, протоколы разные. И если ты используешь web socket'ы, то есть опасность того, что тебя скомпрометируют. Если ты делаешь fallback в flash, ты не решаешь проблему с уязвимость. Если исопльзуешь только флеш - решаешь, но отказываешься от возможностей web sockets

Сообщение от x-yuri
Или тебя смущает, что javascript не может самопроизвольно получить доступ к любому файлу на клиенсткой машине?
Сообщение от FINoM
Нет. Причем здесь это?
при том, что ты не обходишь политику безопасности, а передаешь файл средствами html, потому что в js такой возможности не было. И кроссдоменный ajax - это тоже скорее всего просто так изначально было реализовано, а потом стало понятно, что не учли

Сообщение от Magneto
Нужно фильтровать запросы по http-заголовкам.
Сообщение от FINoM
http заголовки всегда можно подменить.
ip-адрес - не http-заголовок, если же речь о forwarded-for - то не стоит рассчитывать, что он корректный

Сообщение от FINoM
Поспешу огорчить, от данной проблемы нету 100% эликсира, всегда есть возможность притвориться браузером и послать нужные заголовки.
Сообщение от FINoM
Согласен. Но, возможно, есть более "умный" способ, например, какой-нибудь обмен ключами или способ отправки данных, который доступен только клиенту.
может быть и есть, просто не всегда разумно его использовать. А именно, цифровые сертификаты

Сообщение от FINoM
melky, снова повторюсь, сервер злоумышленника может отсылать куки, юзерагент, ip так же как и клиент.
давай уточним условия? Из твоих слов получается, что злоумышленник может получить куки любого пользователя и перехватить любую информацию. Причем есть два вида злоумышленников: 1) владелец сервера E и 2) владелец браузера, у которого нету доступа ни к A, и ни к B
Ответить с цитированием