Pull to refresh

Comments 26

Вот никак не пойму наших «девелоперов».
Разве сложно сделать универсальный инструмент для защиты от XSS в полях ввода? Мне кажется, это сущие пустяки, однако, со времен dial-up постоянно натыкаюсь на новые посты типа «XSS в %projectname% решето».
Видимо, нравится им набирать в разработчики школоту и делать абсолютно все руками.
Возможно, просто забыли сделать вызов этой функции. Разработчики ведь тоже люди :-)
Значит им не очень удобно работать, раз они могли такое забыть.
Может быть, на эту тему их никто не пинает и не лишает премий?.. Мало ли, что неудобно, если без этого решето. Я вот тоже до недавнего времени не задумывался о SQL-инъекциях, а когда прокачал свой моск — не могу без ужаса смотреть на сопровождаемый ныне код. Некоторые знания лишают сна, и заслуженно.
Хорошо, вы разработчик?

Так почему не сделали универсальный инструмент для защиты от XSS? =)
В моем наборе инструментов есть класс, позволяющий привязать к полю определенный список правил. Если таких правил нет в классе, я добавляю новые.
а можете ли вы, например, забыть привязать к полю все нужные правила?
Это решается очень просто — достаточно привязывать не запреты, а разрешения.
А если вы привяжете все нужные разрешения, чтобы работала определенная фича — означает ли это, что не будет XSS?
Скорее всего, да. Всё зависит от того, в какой степени Вы пользуетесь ЯП.

У меня (C++) используется класс SecureString, который шаблонно наследуется от ряда стратегий, например, QuotesStrategy и HtmlStrategy. Каждая стратегия может быть Throw, Skip, Escape, Ignore. В этих случаях при встрече запрещенного символа будет соответсвенно либо брошено исключение, либо символ не попадёт в результирующую строку, либо будет заэскейплен, либо будет пропущен в результат. Вместе с Qt и implicit sharing, всё проверяется и приводится к нужным типам почти мгновенно, так как нет лишних копирований, а только один проход при присваивании/другом изменении.

При этом в HTML-вывод пользователю не может попасть строка, у которой HtmlStrategy — это Ignore, что гарантирует система приведения типов во время компиляции.
Во всем виноваты не только школота, но и дидлайн
Действительно… Отдыхаю на проекте otvet.mail.ru… Если бы не большая посещаемость, ноги бы моей там не было. На сайте уже несколько лет не видно никаких изменений в плане нового функционала/исправляемости багов =(
К сожалению, серьезно. Как говорится, ежики плакали, кололись…
Посоветуйте альтернативный сервис с большим количеством пользователей.
Пробовал от гугла, но пользователей там на глаз намного меньше.
Других не нашел…
А еще на гугл ВиО последнее время анонимусы расплодились и учиняют беспредел. 80% вопросов от них и почти все из них какой-нибудь бред.
треш-холдинг (с) Дуров
тэг «РЕШЕТО» поставлен не зря)
Большое спасибо автору за сообщение о проблеме. Мы всегда просим сообщать нам о таких дырках заранее, и в данном случае zorgrhrd поступил совершенно правильно, что написал нам. То, что проблема не была закрыта сразу, чисто наша вина. В ситуации внутри разобрались, выводы сделали, надеюсь больше таких важных сообщений служба поддержки не пропустит. И да, дырку конечно закрыли.
ну т.е. haters gonna hate, а вы молодцы, радует адекватная и быстрая реакция.
Надо было всю статью писать от третьего лица, или от первого.
А также либо от множественного числа («проверяем», «получаем», «обновляем»), либо от единственного («сидел», «любил», «прошу»).
UFO just landed and posted this here
Sign up to leave a comment.

Articles