Yustos May 17 2007 at 20:36

JavaScript – «слабое место» Web 2.0?

1 min

2.4K

Ajax*

Comments 19

Vitart May 17 2007 at 20:50

Я тоже не думаю, что все так серьезно и опасно. Вот оригинал статьи.

Vitart May 17 2007 at 20:50

Но за новость спасибо. ;)

Yustos May 17 2007 at 20:58

Тебе спасибо - добавлю линк в топик (с позволения).

alammi May 17 2007 at 21:01

«чувак, я ничего не понял, но ты достучался до моего сердца!»
а на самом деле, какая разница конечному пользователю - в случае с Windows, антивирус все равно останется верным спутником в путешествиях по интернету. меня лично заботит лишь то, чтобы макинтоши остались в безопасности - уже больно приятно работать в системе без антивируса.

AirWorker May 18 2007 at 23:26

не думаю, что антивирус это возьмет

sotakone May 17 2007 at 21:03

Мда, когда прочитал заголовок, ожидал увидеть в тексте совсем другое. Каких атак они там боятся, я так и не понял.

Yustos May 17 2007 at 21:12

Вот и я про то. Если у программера кривые руки - ничто не поможет. Разве что статичные страницы :)

Yustos May 17 2007 at 21:14

Не в тему сморозил - о другом задумался :)

dann May 17 2007 at 23:24

"На этой неделе Fortify представила новую версию своего продукта Secure Coding Rulepacks, предназначенного для анализа уязвимостей кода на JavaScript."
Просто Brian рекламирует свой суперпродукт.

jahson May 17 2007 at 23:41

Вот-вот.

UFO landed and left these words here

Yustos May 18 2007 at 04:22

Ничем - просто уточнение.

Siddthartha May 25 2007 at 08:31

Пожалуй немножко смысла есть в том, что сайт с использованием аякса использует на порядок больше запросов к серверу нежели без аякса.
Т.е., потенциально, в десятки и сотни раз больше мест, где ты можешь забыть обезвредить входную строку.

norguhtar May 18 2007 at 05:11

Это попытка сделать деньги из ничего. Знаете есть такие штуки как xml gateways. Они мониторят весь проходящий xml через них и в случае если данные сформированы не верно каким либо образом рубят их :)

isapioff May 18 2007 at 08:57

как то странно. ajax - не язык, а принцип. если уж кривые руки у программиста, то и не ajax-enabled приложение можно завалить. много шума из ничего.
единственное, что можно принимать во внимание, так это то, что ajax - относительно новый подход и потому легко можно попасться на невнимательности.

avenu May 19 2007 at 04:57

Jaмascript здесь лишь посредник между приложением и пользователем. В общем, само приложение никуда не делось, потому все проблемы остались и их не стало больше. Разве что, некоторые программисты могут расслабиться, т.к. путь к приложению закрыт javascript. Т.е. чтобы найти само приложение надо еще в javascript порыться, который может быть вообще закодирован.

flamefork May 19 2007 at 06:53

1. Это все спокойно раскодируется
2. п.1 вооще не нужен, достаточно мониторить запросы
3. Кривые руки - везде кривые руки

avenu May 19 2007 at 06:57

C пунктом 1 я бы поспорил, если бы не пункт 2 =)
3 - это точно =) и javascript здесь непричем

flamefork May 19 2007 at 16:27

Можно поспорить :)