| |
| 2.8, Аноним (-), 14:54, 24/03/2012 [^] [^^] [^^^] [ответить]
| +5 +/– | |
> Исользуем на рабоде
Скажите пожалуйста где вы работаете, очень интересно.
| | |
|
| 1.7, Аноним (-), 14:47, 24/03/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– | |
> Расширены возможности ORM, включая поддержку "SELECT FOR UPDATE"
И это появилось только сейчас?
| | |
| 1.9, Xasd (ok), 16:04, 24/03/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > улучшена защита от CSRF-атак и clickjacking;
каким обрзом сделали защиту от Clickjacking ? %) %)
| | |
| |
| |
| 3.13, Xasd (ok), 17:06, 24/03/2012 [^] [^^] [^^^] [ответить]
| +2 +/– |
> а всё нащёл...
> https://docs.djangoproject.com/en/1.4/ref/clickjacking/
> круто :)
а нет... не круто...
> We've added a middleware to provide easy protection against clickjacking using the
> X-Frame-Options header. It's not enabled by default for backwards compatibility reasons,
> but you'll almost certainly want to enable it to help plug that security hole for
> browsers that support the header.
>>>It's not enabled by default<<<
не добавили по умолчанию -- это значит что 99.99% web-разработчиков не будут этим пользоватся -- всеголишь только потомучто будут думать что:
"""
уязвимости-сайта это результат моих действий, а не результат моих бездействий.
я [видимо] не допускал ошибок следовательно, уязвимостей [видимо] нет
"""
...вобщем разработчки Django -- видимо совсем не извлекают пользы из чужих недавних ошибок [ http://www.opennet.ru/opennews/art.shtml?num=33268 ]
# p.s.: а если 99.99 web-разработчиков не будут внедрять защиты от Clickjacking -- то страдать-то -- будем мы, простые пользователи... и как потом доказать комуто что твой "клик" "украли" ?? ip то твой и Куки все твои xD..
| | |
| |
| 4.21, arisu (ok), 14:22, 25/03/2012 [^] [^^] [^^^] [ответить]
| –3 +/– |
 жабоскрип надо отключать потому что. и не использовать сайты, которые требуют, чтобы он обязательно был включен.
| | |
| |
| 5.24, Имя (?), 21:03, 25/03/2012 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Clickjacking можно и на HTML+CSS сделать.... CSS тоже отключить?
....вы только подтвердили слова о том что люди в основной массе нифига не понимают что такое Clickjacking и поэтому защиту делать не будут
| | |
| |
| 6.25, arisu (ok), 21:12, 25/03/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> Clickjacking можно и на HTML+CSS сделать…. CSS тоже отключить?
нет, нельзя. потому что если сломан сервер, то это уже другой разговор. а если сервер целый, то только js.
> ….вы только подтвердили слова о том что люди в основной массе нифига
> не понимают что такое Clickjacking и поэтому защиту делать не будут
ты только что подтвердил, что «веб-программисты» cannot into security. но это аксиома.
| | |
| |
| 7.26, Имя (?), 21:24, 25/03/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> нет, нельзя. потому что если сломан сервер
может почитаешь хотябы каким образом реализовывается Clickjacking ???
я то лично отчётливо понимаю что из МИНИМАЛЬНЫХ требований нужно:
1. манипуляция с несколькими <div> их CSS: абсолютное позиционирование и overflow:hidden -- для этих <div>
2. iFrame (внутри одного из <div>) и его "opacity:0.00001" (невидимая глазу прозрачность)
3. граммотно составленная web-страничка с какойнить кнопкой (типа -- "зайти на сайт >>>" или "пропустить рекламу >>>")
а если есть Javascript то это ВСЕГОЛИШЬ добавляет комфортность: например, наборы элементов могут двигаться всегда вместе с курсором мыши (т.е. куда не тыкнешь на сайте -- всюду будет "угон клика")
| | |
| |
| 8.29, arisu (ok), 21:40, 25/03/2012 [^] [^^] [^^^] [ответить] | +/– | идиотизм пользователя, жмущего на голые сиськи семенович бесплатно я в расчёт ... текст свёрнут, показать | | |
| |
| 9.41, Xasd (ok), 14:06, 27/03/2012 [^] [^^] [^^^] [ответить] | +/– | а кнопка типа посмотреть новый аналог транзистора КТ-315, бесплатно, без SMS -... текст свёрнут, показать | | |
| |
| |
| 11.43, Xasd (ok), 19:12, 27/03/2012 [^] [^^] [^^^] [ответить] | +/– | а может ты и вообще интернетом не пользуешься, кто тебя знает кроме сайта ope... текст свёрнут, показать | | |
|
|
|
|
| 7.27, Имя (?), 21:30, 25/03/2012 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> если сломан сервер, то это уже другой разговор
давай сразу обговорим такой момент -- если сайт (для которобу будет создаваться ClickJacking) НЕ использует HTTP-заголовок "X-Frame-Options: ..." -- то это щитается как "сломан сервер" или нет?
# p.s.: и сразу встаёт следущий вопрос: можешь хотябы 10 разных сайтов в пример привести которые HTTP-заголовок "X-Frame-Options: ..." -- ИСПОЛЬЗУЮТ?
| | |
| |
| 8.28, arisu (ok), 21:35, 25/03/2012 [^] [^^] [^^^] [ответить] | –1 +/– | это всё попытка залатать дырку соседа костылями более того, это поле и нестанда... текст свёрнут, показать | | |
| |
| 9.30, Имя (?), 21:56, 25/03/2012 [^] [^^] [^^^] [ответить] | +1 +/– | ты издеваешь чтоле троллишь какие ещё 3rd-side cookies страничка сайта ко... большой текст свёрнут, показать | | |
| |
| 10.33, arisu (ok), 22:41, 25/03/2012 [^] [^^] [^^^] [ответить] | –1 +/– | и что это даёт clickjacking нафиг не упёрся без уникальных кукишей юзера чтобы... текст свёрнут, показать | | |
| |
| 11.36, Xasd (ok), 10:21, 26/03/2012 [^] [^^] [^^^] [ответить] | +1 +/– | ну допустим внутри iframe скрыта кнопка удалить мой аккаунт или подтердить ... текст свёрнут, показать | | |
|
|
| 9.31, Имя (?), 22:05, 25/03/2012 [^] [^^] [^^^] [ответить] | +1 +/– | попытку можно щитать проваленной -- по причине того что 1 это не пропихнули в ... текст свёрнут, показать | | |
| |
| 10.32, Имя (?), 22:14, 25/03/2012 [^] [^^] [^^^] [ответить] | +1 +/– | моя-лично вся надежда -- на http www w3 org TR from-origin как раз воз... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
|
