** Franciszek Sosnowski wrote:
>> Powstrzymywać przed czym bo już się pogubiłem?
> Przed wypisaniem na ekranie czystego urla, ktory w kliknieciu
> zawiera refererowanie (ale ladne slowo) gdzies tam.
Jak w URL chcesz przekazać nagłówek HTTP Referer?
(...)
>> Aaaa... W ten sposób (nie sprawdzałem, ale zakładam, że masz rację)
>> - ale przecież nad skryptami, które się u Ciebie wykonują masz pełną
>> kontrolę.
> No tak, ale powiedz jaki odsetek userow jest w stanie objac umyslem
> problem, jesli polowa w tym watku poruszonego slownictwa, jest obca.
> Nie twierdze, ze tego sie nie da, bo wszystko sie da, jak nie z
> automatu to 'z reki' - wystarczy czesto objerzec zrodlo. Ale pani
> Zosia tego nie zrobi.
Tutaj też się zgodzę. O JS w przeglądarkach to jeszcze dużo złego
usłyszymy, np. JS (które przecież każdy ma włączone) ma podobną
funkcjonalność do cookies - z tą różnicą, że cookies możesz
jednoznacznie wyłączyć/zezwolić danej witrynie, aby pozbawić JS tej
funkcjonalności musiałbyś przeglądać każdy skrypt.
Ostatnio gdzieś czytałem o skanerze sieciowym wykonanym całkowicie w JS
- wchodzisz sobie na stronę, ładujesz skrypt JS, a ten Ci skanuje i
tworzy profil sieci.
>> Niby tak. Tyle, że wysyłania Referer to ja bym z bezpieczeństwem nie
>> kojarzył - no bo jakie to niesie zagrożenia?
> Jak to jakie? Dowolne dane mozesz wyprowadzic. Po prostu string leci,
> a ze wg schematu zawartosc nie musi byc pochodna strony, po ktorej
> wlasnie buszujemy, to nie idzie tego w prosty sposob wyfiltrowac.
A. O to Ci chodzi. Ale to już od dawna wiadomo, że w HTTP możesz
zakapsułkować cokolwiek (np. TCP/IP) :) Nie zrozumieliśmy się - masz
rację.
(...)
> >Oczywiście, że da się takie strony zrobić, mogę zrobić stronę,
>> która Ci się nie wyświetli jeżeli nie masz otwartych portów
>> Otoczenia Sieciowego. :) Co chcesz powiedzieć właściwie? Bo dla
>> mnie to dosyć oczywiste.
> Wlasciwie, to poddalem w watpliwosc bezpieczenstwo klikania w linki
> w gg, w kontekscie tak ogromnego dbania o niewyplywanie danych.
No to znowu pętelkę linki jakie tworzy GG i wysyła je do przeglądarki
są bez *żadnego* problemu do sprawdzenia, chociażby sprawdzając jakie
funkcje wywołuje, bądź (co skuteczniejsze) stawiając skaner sieciowy
pomiędzy. Więc biorąc pod uwagę popularność GG to jeżeli by się
nieprzyzwoicie zachowywało to już byśmy o tym wiedzieli.
-- + ' .-. . . http://kosmosik.net/ * ) ) * . . '-' . kKReceived on Thu Aug 3 00:35:06 2006
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Thu 03 Aug 2006 - 00:42:01 MET DST