| |
|
|
| | Несёт ли в себе потенциальную угрозу javascript?
Нужен развёрнутый ответ: какую угрозу, как противостоять ей, прецеденты, изыскания в этой области экспертов по безопасности. Интересно почитать что-либо на эту тему. | |
| |
|
|
| |
|
|
| |
для: блогер
(15.11.2010 в 18:36)
| | | может сохранять файлы на машине пользователя. | |
| |
|
|
| |
|
|
| |
для: Красная_шляпа
(15.11.2010 в 19:42)
| | | И какие это файлы он может сохранять? | |
| |
|
|
| |
|
|
| |
для: Красная_шляпа
(15.11.2010 в 19:42)
| | | Где здесь угроза безопасности? | |
| |
|
|
| |
|
|
| |
для: блогер
(16.11.2010 в 03:22)
| | | JavaScript вообще не может сохранять никаких файлов, кроме записи кук, и то это "анонимная" запись.
Вас интересуют такие пространные вопросы - так наберите в поисковике и почитайте. Ведь безопасность, это понятие широкое, а в самом JS нет ни чего страшного. | |
| |
|
|
| |
|
|
| |
для: sim5
(16.11.2010 в 06:22)
| | | http://www.softtime.ru/bookphp/gl3_2.php
цитата:
=======================
А теперь давайте немного пошутим, и введем в форму для вода сообщения вместо безобидного текста вот такой javascript-код (пока тоже безобидный):
<Script Language="JavaScript">
alert("Приветик!"); // функция вывода в JavaScript
</Script>
Т.е. наша форма примет следующий вид:
(картинка)
А вот если, мы не обработали сообщение функцией htmlspecialchars() (закомментарьте строку $msg = htmlspecialchars($msg); в test1.php), то мы увидим уже не текст скрипта, а результат его выполнения:
(картинка)
Как понимаете, "приветик" может быть совсем не таким безобидным.
======================== | |
| |
|
|
| |
|
|
| |
для: elenaki
(16.11.2010 в 10:29)
| | | Ну а причем тут непосредственно сам JS? Все верно, то что от него требовалось - alert("Приветик!"), он и выдал, но это не проблема JS, это проблема разработчика серверного приложения, который не обработал сообщение htmlspecialchars(). Не надо лить все в кучу, Лена, вы ведь хорошо знаете, где котлеты, а где мухи. | |
| |
|
|
|
| |
|
|
| |
для: Красная_шляпа
(16.11.2010 в 10:37)
| | | Не путайте хрен с пальцем, ActiveX к JavaScrip не имеет никакого отношения, тем более, что пользователь может запретить их выполнение. Выполнение одного из объектов ActiveX, кторый может записать что-то пользователю, и называемый File System Object, при попытке это сделать, вызовет предупреждение браузера IE, остальные просто не будут его выполнять. | |
| |
|
|
| |
|
|
| |
для: блогер
(15.11.2010 в 18:36)
| | | Украсть файл с ПК посетителя можно?
Что можно узнать о посетителе средствами javascript, помимо
версии браузера, часового пояса, локали, сетевого адреса,
графического разрешения, пропускной способности канала связи? | |
| |
|
|
| |
|
|
| |
для: блогер
(16.11.2010 в 18:29)
| | | Вы почитайте что такое JS вообще, и не нагоняйте на себя страхов.
Безопасность веб-приложений, это 99% забота разработчика серверной его части, именно от туда может пролезть зараза, если он (разработчик) не предпримет должных мер. Смените направление вопроса с "страшен ли JS" на "безопасность веб-приложений", и ищите в сети ответы, а в ней написано очень много ибо это куда более широкое понятие, а не "страшилка JS", читайте. | |
| |
|
|
| |
|
|
| |
для: sim5
(16.11.2010 в 21:37)
| | | Побольше конструктива, поменьше трескотни. Я почитаю, а Вы
скажете не то читал. Поэтому урл в студию. | |
| |
|
|
| |
|
|
| |
для: блогер
(16.11.2010 в 23:18)
| | | Гугл вам выдаст урлы. Нет и не будет у JS возможностей украсть у пользователя файл, ибо он не имеет инструментария ни чтения, ни записи файлов с диска. Это вам кратко, а пересказывать столь много, и что в большей массе отношения к JS вообще не имеет, на форуме смысла нет никакого. | |
| |
|
|
