בתשובה לשיימוס, 15/04/10 21:39
סיכום ממצה של סוגי ממשקים 540608
אין דבר כזה "http://about:", ומכל מקום, מטעמי אבטחה לא ניתן לקשר ל-about:config.
סיכום ממצה של סוגי ממשקים 540609
הבהר ונמק. איזו בעיית אבטחה יש כאן?
סיכום ממצה של סוגי ממשקים 540614
הדפדפן הוא שמונע את הקישור, ועל כן אין טעם לוויכוח. עם זאת, הרי לך הסבר קצר.

לעמוד about:config יש הרשאות שאין לעמודים רגילים - הוא מורשה, למשל, לקרוא את הגדרות הדפדפן הנוכחיות ולשנות אותן. יש עוד עמודים כאלה - נסה להקליד את הכתובת chrome://browser/content/browser.xul בשורת הכתובת של Firefox.

הקישור לדפים אלה מדפים רגילים מסוכן למדי, מכיוון שכאשר עמוד מסוים מקשר לעמוד אחר יש לעמוד המקשר באי-אלו תנאים גישה לתוכן עמוד המקושר (כלומר, לקוד).
סיכום ממצה של סוגי ממשקים 540621
באילו תנאים יש לעמוד מקשר גישה לתוכן של עמוד מקושר?
סיכום ממצה של סוגי ממשקים 540623
לדוגמה, הערך המוחזר מ-()window.open הוא החלון שנפתח.
סיכום ממצה של סוגי ממשקים 540626
זה לא קישור, זה javascript.

אין שום סכנה בקישור פשוט בין שני עמודים.

גם לעמוד שפותח עמוד אחר בעזרת javascript אין גישה לתוכן של העמוד השני אם הוא נמצא תחת דומיין אחר.
סיכום ממצה של סוגי ממשקים 540651
> גם לעמוד שפותח עמוד אחר בעזרת javascript אין גישה לתוכן של העמוד השני אם הוא נמצא תחת דומיין אחר.

היום. רוב הפרצות בדפדפנים קשורות בבעיתיות הזו. אם תרצה אקשר אותך לכמה באגים (שנסגרו) בבאגזילה.
סיכום ממצה של סוגי ממשקים 540674
אני מכיר את הבאגים. בכל מקרה הטענה המקורית הייתה לגבי קישורים, ואין שום סכנה בקישור פשוט בין שני עמודים. javascript זה javascript, וגם בלי באגים זו פרצת אבטחה לאפשר תוכן javascript מהמשתמש.
סיכום ממצה של סוגי ממשקים 540924
רק דיברנו...:


חזרה לעמוד הראשי המאמר המלא

מערכת האייל הקורא אינה אחראית לתוכן תגובות שנכתבו בידי קוראים