| 1.3, Филимон Озадаченный (?), 13:44, 26/01/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
>>Выполнив код в контексте интерфейса администратора атакующий может перехватить cookie с идентификатором сеанса
Не по холиварить, просто интересно: из каких соображений эти куки не http only ? И почему админские сессии не привязываются к IP ?
| | |
| |
| 2.4, Онотоле (ok), 15:08, 26/01/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Потому что разработчики были так заняты темплейтами на XML, что совсем забыли что у них могут быть какие то там XSS и сессии.
| | |
| 2.5, Crazy Alex (ok), 15:41, 26/01/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
 По-моему гораздо более интересный вопрос - как в здоровенной, распространённой и много лет существующей получилось, что что-то может быть введено без фильтрации и выведено без экранирования? По идее, такие вещи должны на полном автомате каким-то слоем реализовываться.
| | |
|
| 1.6, Аноним (-), 17:22, 26/01/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Справедливости ради - тот факт, что разрабам приходится тратить своё время и следить за всей это хернёй является прямым недостатком html и отличным аргументом в пользу его замены на что-то более прогрессивное.
| | |
| |
| 2.8, клоун (?), 18:06, 26/01/2016 [^] [^^] [^^^] [ответить]
| –1 +/– | |
HTML язык разметки, а не програмиирования. Попытки использования инструмента не по назначению ничем хорошим обычно не заканчиваются. И список web-технологий, только названия которых уже занимают больше А4 мелким шрифтом это подтверждает.
С решением согласен: если уж хочется динамического web-программирования, нужно создавать среду для этого. И лучше чтобы это было не WWW и не HTTP. Пусть это будет JWS (Java Web Script) и JTTP и открываться будет что-то типа jws://jttp.site.ru
| | |
| |
| 3.9, lol (??), 18:48, 26/01/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
ну и сидите вдвоем на своем JWS/JTTP, фанатики.
| | |
| |
| 4.11, тоже Аноним (ok), 01:05, 27/01/2016 [^] [^^] [^^^] [ответить]
| –2 +/– |
 Если оно реально будет работать и реально будет обещать профит - все может оказаться не так незыблемо, как кажется.
Браузеров сейчас немного, и они постоянно ищут, чем бы выдвинуться (даже мелкомягкий), так что новый протокол вполне могут внедрить - сначала экспериментально, потом уверенно.
Сервер по юзер-агенту определит, что браузер уже современный, сделает редирект с http: на jws: - и армия пользователей начнет расти сама собой, без всякого активного участия с их стороны...
Сначала крупные порталы, для которых и процент пользователей - это масса, потом интранеты подхватят, банки-платежные системы, а там и в широкий мир пойдет.
| | |
| |
| 5.12, Crazy Alex (ok), 06:24, 27/01/2016 [^] [^^] [^^^] [ответить]
| +/– |
Учитывая, что WebAssembly уже на взлёте, и что это совместный проект мозиллы, гугла и майкрософта - ни у каких JWS/JTTP шансов вообще никаких, что весьма радует, так как избавляет от привязки к "единственно правильной" среде. А про вторую часть можно забыть уже сейчас - с транспортом никаких проблем нет, уже перелопатили, введя HTTP/2 и перед этим WebSockets - оба вполне приличны.
| | |
|
|
|
|
|
