Re: darmowy firewall

Autor: Konrad Kosmowski <konrad_at_kosmosik.net>
Data: Thu 03 Aug 2006 - 00:31:00 MET DST
Message-ID: <ear982$e62$2@nemesis.news.tpi.pl>
Content-Type: text/plain; charset=ISO-8859-2

** Franciszek Sosnowski wrote:

>> Powstrzymywać przed czym bo już się pogubiłem?

> Przed wypisaniem na ekranie czystego urla, ktory w kliknieciu
> zawiera refererowanie (ale ladne slowo) gdzies tam.

Jak w URL chcesz przekazać nagłówek HTTP Referer?

(...)

>> Aaaa... W ten sposób (nie sprawdzałem, ale zakładam, że masz rację)
>> - ale przecież nad skryptami, które się u Ciebie wykonują masz pełną
>> kontrolę.

> No tak, ale powiedz jaki odsetek userow jest w stanie objac umyslem
> problem, jesli polowa w tym watku poruszonego slownictwa, jest obca.
> Nie twierdze, ze tego sie nie da, bo wszystko sie da, jak nie z
> automatu to 'z reki' - wystarczy czesto objerzec zrodlo. Ale pani
> Zosia tego nie zrobi.

Tutaj też się zgodzę. O JS w przeglądarkach to jeszcze dużo złego
usłyszymy, np. JS (które przecież każdy ma włączone) ma podobną
funkcjonalność do cookies - z tą różnicą, że cookies możesz
jednoznacznie wyłączyć/zezwolić danej witrynie, aby pozbawić JS tej
funkcjonalności musiałbyś przeglądać każdy skrypt.

Ostatnio gdzieś czytałem o skanerze sieciowym wykonanym całkowicie w JS
- wchodzisz sobie na stronę, ładujesz skrypt JS, a ten Ci skanuje i
tworzy profil sieci.

>> Niby tak. Tyle, że wysyłania Referer to ja bym z bezpieczeństwem nie
>> kojarzył - no bo jakie to niesie zagrożenia?

> Jak to jakie? Dowolne dane mozesz wyprowadzic. Po prostu string leci,
> a ze wg schematu zawartosc nie musi byc pochodna strony, po ktorej
> wlasnie buszujemy, to nie idzie tego w prosty sposob wyfiltrowac.

A. O to Ci chodzi. Ale to już od dawna wiadomo, że w HTTP możesz
zakapsułkować cokolwiek (np. TCP/IP) :) Nie zrozumieliśmy się - masz
rację.

(...)

> >Oczywiście, że da się takie strony zrobić, mogę zrobić stronę,
>> która Ci się nie wyświetli jeżeli nie masz otwartych portów
>> Otoczenia Sieciowego. :) Co chcesz powiedzieć właściwie? Bo dla
>> mnie to dosyć oczywiste.

> Wlasciwie, to poddalem w watpliwosc bezpieczenstwo klikania w linki
> w gg, w kontekscie tak ogromnego dbania o niewyplywanie danych.

No to znowu pętelkę linki jakie tworzy GG i wysyła je do przeglądarki
są bez *żadnego* problemu do sprawdzenia, chociażby sprawdzając jakie
funkcje wywołuje, bądź (co skuteczniejsze) stawiając skaner sieciowy
pomiędzy. Więc biorąc pod uwagę popularność GG to jeżeli by się
nieprzyzwoicie zachowywało to już byśmy o tym wiedzieli. 

-- 
    +                                 '                      .-.     .
              .         http://kosmosik.net/             *    ) )
      *                                    .           .     '-'  . kK
Received on Thu Aug 3 00:35:06 2006

To archiwum zostało wygenerowane przez hypermail 2.1.8 : Thu 03 Aug 2006 - 00:42:01 MET DST