בתשובה לאסף רומנו, 15/04/10 22:14
 |
|
 |
||
|
||||
 |
הבהר ונמק. איזו בעיית אבטחה יש כאן? |  |
 |
 |
|
|
|
||
|
||||
|
הדפדפן הוא שמונע את הקישור, ועל כן אין טעם לוויכוח. עם זאת, הרי לך הסבר קצר. לעמוד about:config יש הרשאות שאין לעמודים רגילים - הוא מורשה, למשל, לקרוא את הגדרות הדפדפן הנוכחיות ולשנות אותן. יש עוד עמודים כאלה - נסה להקליד את הכתובת chrome://browser/content/browser.xul בשורת הכתובת של Firefox. הקישור לדפים אלה מדפים רגילים מסוכן למדי, מכיוון שכאשר עמוד מסוים מקשר לעמוד אחר יש לעמוד המקשר באי-אלו תנאים גישה לתוכן עמוד המקושר (כלומר, לקוד). |
|
|
|
|
|
|
||
|
||||
|
באילו תנאים יש לעמוד מקשר גישה לתוכן של עמוד מקושר? | |
|
|
|
|
|
||
|
||||
|
לדוגמה, הערך המוחזר מ-()window.open הוא החלון שנפתח. | |
|
|
|
|
|
||
|
||||
|
זה לא קישור, זה javascript. אין שום סכנה בקישור פשוט בין שני עמודים. גם לעמוד שפותח עמוד אחר בעזרת javascript אין גישה לתוכן של העמוד השני אם הוא נמצא תחת דומיין אחר. |
|
|
|
|
|
|
||
|
||||
|
> גם לעמוד שפותח עמוד אחר בעזרת javascript אין גישה לתוכן של העמוד השני אם הוא נמצא תחת דומיין אחר. היום. רוב הפרצות בדפדפנים קשורות בבעיתיות הזו. אם תרצה אקשר אותך לכמה באגים (שנסגרו) בבאגזילה. |
|
|
|
|
|
|
||
|
||||
|
אני מכיר את הבאגים. בכל מקרה הטענה המקורית הייתה לגבי קישורים, ואין שום סכנה בקישור פשוט בין שני עמודים. javascript זה javascript, וגם בלי באגים זו פרצת אבטחה לאפשר תוכן javascript מהמשתמש. | |
|
|
|
|
|
||
|
||||
|
רק דיברנו...: |
|
|
|
| חזרה לעמוד הראשי |  |
| מערכת האייל הקורא אינה אחראית לתוכן תגובות שנכתבו בידי קוראים | |
 RSS מאמרים |
כתבו למערכת |
אודות האתר |
טרם התעדכנת |
ארכיון |
חיפוש |
עזרה |
תנאי שימוש
|
© כל הזכויות שמורות |