> защита от xss и в любом нормальном скрипте есть
Я с самого начала подозревал что Вы не понимаете разницы между CSRF и XSS, теперь вижу что Вы окончательно запутались.
> это только у тех сайтов у которых crossdomain.xml разрешен для всех.
Фу ты блин, я-то думал что действительно о какой-то серьезной уязвимости речь, а тут «раз в год при попутном ветре».
Если не возражаете, я от дальнейшей дискуссии устранюсь.
Этот тег я могу оставить форуме, гостевой или комментарии у Вас на сайте.
Меня вот тоже заинтересовало: откуда у меня на сайте возьмется флеш, который выполняет все эти JS запросы? Опять же при условии отсутствия более страшных дыр чем CSRF.
Все верно с одной стороны, с другой стороны крупный проект (со своим сервером, админом и пр) просто не нуждается в подобных скриптах, так как все тоже самое можно сделать при помощи серверного софта.
Это решение как раз для мелких и средних сайтов расположенных на shared-хостингах… Кто им там позволит разворачивать «тяжелую артиллерию»?
За эти же деньги предлагается полноценный навигатор с влагозащитой и заявленным временем работы в 30 часов. Какой смысл покупать эту урезанную версию компаса?
Я решал ту же задачу что и Вы, но зашел ровно с другого конца:
Обругав себя за «досадный просчет при ремонте» я все же проложил кабель на кухню, а заодно кабели во все другие места, где они могут понадобиться в необозримом будущем (раз уж ломать, так один раз). Купил WD TV Live и телевизор без всяких встроенных плееров (ну почти без всяких:). Mediatomb я тоже поставил, но очень скоро понял что для фильмов удобнее шара с симлинками, а музыку через телевизор я не слушаю.
Ваш топик говорит мне о том, что мой путь оказался более коротким…
Диалог примерно такой:
— Почему Вы такой не прикольный и не модный?
— Меня интересуют другие вещи.
— А если бы Вы были модный и прикольный, то что бы Вы сказали по поводу…
Если бы мне пришлось дописывать подобный проект, то я бы не полез в эти дебри а просто добавил правила в конец main.css
Если Вам в этой свалке ориентироваться привычно, то для пришедшего после Вас это будет настоящий кошмар.
У 300D действительно был такой разъем, а вот у 40D разъем совсем другой, который еще побегать-поискать придется. Причем, без всяких гарантий найти. Так что перечень поддерживаемых моделей не вполне верен.
>В этом плане Эппл правильней поступают — даже для старых телефонов они выпускают новые прошивки. Да, с ограничениями, но всё же.
Не совсем так — для первого поколения iphone перехода на 4 версию iOS не произошло. Так что на каком-то этапе все же обновления заканчиваются… Ну может дырки закрывают разве что.
Изначально писалась для собственных нужд. Чтобы был некий удобный набор «кубиков» для создания сайтов. Потом пришла мысль что этими кубиками можно поделиться с другими, систематизировав их и обернув в единый интерфейс. А потом пришла следующая мысль, которая заключалась в том, что программистам такая система не нужна, так как каждый из них пишет аналогичную:) Так что вектор переместился на пользователей: как можно больше «механики» упрятано вглубь, как можно больше всего управляется кнопочками через интерфейс. Вот в этом направлении сейчас ее и развиваю.
Админка тоже модульная. Можете ее чем-то дополнить или что-то убрать… А можете вообще использовать собственную. Так что налагать на нее какие-то дополнительные ограничение мне не представляется необходимым.
1. Кто же спорит — error_reporting(E_ALL | E_NOTICE); хорошо и красиво, когда дело касается только собственного кода. А когда используются сторонние библиотеки, то вместо того чтобы их использовать в соответствии с API, начинаешь их ковырять на предмет облагораживания кода… Ну один раз можно на это отважиться… но ведь это приходится проделывать после выхода каждой новой версии. Возникает резонный вопрос — а нафига, собственно?
www.cgisecurity.com/csrf-faq.html#attackperform
Я с самого начала подозревал что Вы не понимаете разницы между CSRF и XSS, теперь вижу что Вы окончательно запутались.
> это только у тех сайтов у которых crossdomain.xml разрешен для всех.
Фу ты блин, я-то думал что действительно о какой-то серьезной уязвимости речь, а тут «раз в год при попутном ветре».
Если не возражаете, я от дальнейшей дискуссии устранюсь.
Меня вот тоже заинтересовало: откуда у меня на сайте возьмется флеш, который выполняет все эти JS запросы? Опять же при условии отсутствия более страшных дыр чем CSRF.
В итоге имеем абсолютно корректный referrer.
Так что уже лучше использовать код. А запросы из флеша легко отслеживаются по изменившемуся юзерагенту.
Это решение как раз для мелких и средних сайтов расположенных на shared-хостингах… Кто им там позволит разворачивать «тяжелую артиллерию»?
Лучше наступать на грабли?!
Обругав себя за «досадный просчет при ремонте» я все же проложил кабель на кухню, а заодно кабели во все другие места, где они могут понадобиться в необозримом будущем (раз уж ломать, так один раз). Купил WD TV Live и телевизор без всяких встроенных плееров (ну почти без всяких:). Mediatomb я тоже поставил, но очень скоро понял что для фильмов удобнее шара с симлинками, а музыку через телевизор я не слушаю.
Ваш топик говорит мне о том, что мой путь оказался более коротким…
— Почему Вы такой не прикольный и не модный?
— Меня интересуют другие вещи.
— А если бы Вы были модный и прикольный, то что бы Вы сказали по поводу…
Если Вам в этой свалке ориентироваться привычно, то для пришедшего после Вас это будет настоящий кошмар.
Не совсем так — для первого поколения iphone перехода на 4 версию iOS не произошло. Так что на каком-то этапе все же обновления заканчиваются… Ну может дырки закрывают разве что.
2. это изначально и не планировалось
3. А чего Вы ожидали?:)