Yustos17 мая 2007 в 20:36

JavaScript – «слабое место» Web 2.0?

1 мин

2.5K

Ajax *

Комментарии 19

Vitart 17 мая 2007 в 20:50

Я тоже не думаю, что все так серьезно и опасно. Вот оригинал статьи.

Vitart 17 мая 2007 в 20:50

Но за новость спасибо. ;)

Yustos 17 мая 2007 в 20:58

Тебе спасибо - добавлю линк в топик (с позволения).

alammi 17 мая 2007 в 21:01

«чувак, я ничего не понял, но ты достучался до моего сердца!»
а на самом деле, какая разница конечному пользователю - в случае с Windows, антивирус все равно останется верным спутником в путешествиях по интернету. меня лично заботит лишь то, чтобы макинтоши остались в безопасности - уже больно приятно работать в системе без антивируса.

AirWorker 18 мая 2007 в 23:26

не думаю, что антивирус это возьмет

sotakone 17 мая 2007 в 21:03

Мда, когда прочитал заголовок, ожидал увидеть в тексте совсем другое. Каких атак они там боятся, я так и не понял.

Yustos 17 мая 2007 в 21:12

Вот и я про то. Если у программера кривые руки - ничто не поможет. Разве что статичные страницы :)

Yustos 17 мая 2007 в 21:14

Не в тему сморозил - о другом задумался :)

dann 17 мая 2007 в 23:24

"На этой неделе Fortify представила новую версию своего продукта Secure Coding Rulepacks, предназначенного для анализа уязвимостей кода на JavaScript."
Просто Brian рекламирует свой суперпродукт.

jahson 17 мая 2007 в 23:41

Вот-вот.

НЛО прилетело и опубликовало эту надпись здесь

Yustos 18 мая 2007 в 04:22

Ничем - просто уточнение.

Siddthartha 25 мая 2007 в 08:31

Пожалуй немножко смысла есть в том, что сайт с использованием аякса использует на порядок больше запросов к серверу нежели без аякса.
Т.е., потенциально, в десятки и сотни раз больше мест, где ты можешь забыть обезвредить входную строку.

norguhtar 18 мая 2007 в 05:11

Это попытка сделать деньги из ничего. Знаете есть такие штуки как xml gateways. Они мониторят весь проходящий xml через них и в случае если данные сформированы не верно каким либо образом рубят их :)

isapioff 18 мая 2007 в 08:57

как то странно. ajax - не язык, а принцип. если уж кривые руки у программиста, то и не ajax-enabled приложение можно завалить. много шума из ничего.
единственное, что можно принимать во внимание, так это то, что ajax - относительно новый подход и потому легко можно попасться на невнимательности.

avenu 19 мая 2007 в 04:57

Jaмascript здесь лишь посредник между приложением и пользователем. В общем, само приложение никуда не делось, потому все проблемы остались и их не стало больше. Разве что, некоторые программисты могут расслабиться, т.к. путь к приложению закрыт javascript. Т.е. чтобы найти само приложение надо еще в javascript порыться, который может быть вообще закодирован.

flamefork 19 мая 2007 в 06:53

1. Это все спокойно раскодируется
2. п.1 вооще не нужен, достаточно мониторить запросы
3. Кривые руки - везде кривые руки

avenu 19 мая 2007 в 06:57

C пунктом 1 я бы поспорил, если бы не пункт 2 =)
3 - это точно =) и javascript здесь непричем

flamefork 19 мая 2007 в 16:27

Можно поспорить :)

Зарегистрируйтесь на Хабре, чтобы оставить комментарий