Комментарии 26
Вопрос не по теме, но у вас когда-нибудь появится двухфакторная авторизация?
> Если вы не хотите блокировать расширения хрома, которые, кстати, с последних версий тоже живут по CSP, то надо разрешить протокол «chrome-extension:»
Поясните пожалуйста, что имеется в виду. Расширения работают в отдельном окружении и имеют доступ к DOM такой же, как и стандартный код.
Поясните пожалуйста, что имеется в виду. Расширения работают в отдельном окружении и имеют доступ к DOM такой же, как и стандартный код.
Если в manifest.json указаны content_scripts, то хром их вставляет в DOM как обычные скрипты. При этом src у них начинается с
chrome-extension://. C CSS тоже самое.Или я не очень понимаю, о чем вы, или вы ошибаетесь.
gist.github.com/anonymous/8027276 — сделал небольшой gist, добавил в Хром. Зашел на mail.yandex.ru — есть alert. Скрипт в DOM не добавляется (ну это как бы и логично)
gist.github.com/anonymous/8027276 — сделал небольшой gist, добавил в Хром. Зашел на mail.yandex.ru — есть alert. Скрипт в DOM не добавляется (ну это как бы и логично)
Интересно, как вы определяете границы безопасности и паранойи?
Ваш валидатор в почте не понимает ссылки формата //yandex.ru вырезая атрибут href из ссылок напроч (я письмо в саппорт написал, обещали разобраться). Но я и ранее указывал на недостатки того, как вы игнорирует существование других стандартов, но как и сейчас было обещание разобраться и только.
Для примера если я напишу URI с указанием конкретного протокола ( sip:pupkin@example.com) то вы переделаете его в
Интернет это не только mail и http. это еще и xmpp: ftp: tel: и прочие
Ваш валидатор в почте не понимает ссылки формата //yandex.ru вырезая атрибут href из ссылок напроч (я письмо в саппорт написал, обещали разобраться). Но я и ранее указывал на недостатки того, как вы игнорирует существование других стандартов, но как и сейчас было обещание разобраться и только.
Для примера если я напишу URI с указанием конкретного протокола ( sip:pupkin@example.com) то вы переделаете его в
sip:<a href="mailto:pupkin@example.com" >pupkin@example.com</a> невзирая на прямое указание протокола sip:.Интернет это не только mail и http. это еще и xmpp: ftp: tel: и прочие
report-uri — указывает URL, на который будут отправляться JSON-отчеты о нарушениях… Некоторые браузеры также указывают в отчете ссылку и строку JS, которые привели к нарушению политики безопасности.
офтопик. не про вас, а про механизм отчетов CSP вообще. расскажите подробнее как работает эта магия. интересно, может-ли таким образом владелец сайта получать дополнительную информацию о пользователях, которую раньше нельзя было бы получить?
смущает что владелец ресурса может получать в отчетах CSP ссылки. ведь ссылки могут содержать конфиденциальные данные (допустим, индентификатор пользователя в социальной сети, секретные ключи и т.п.). можно-ли намеренно «запретить» политиками CSP интересующие домены, чтобы затем получать эти сведения в отчетах?
гипотетический сценарий. допустим есть виджет социальной сети (//yy.ru/widget.js), который смотрит в куки своего домена и делает ajax-запрос к сервису авторизации, передавая логин в урле (//passport.yy.ru/?login=username). штатными средствами мониторить ajax запросы браузер не даст. добавляем виджет на страницу, политиками разрешаем загрузку виджета c домена yy.ru, но запрещаем доступ к домену авторизации passport.yy.ru. когда на сцену выходит CSP в отчетах получаем урлы с логинами, по которым пользователей можно идентифицировать. профит.
если все это нереальный бред про паранойю, буду признателен за конструктивную критику. :)
Да, в принципе, такое возможно, но CSP тут нового ничего не вносит. Владельцу сайта никто и раньше не мешал переопределить XMLHttpRequest и смотреть на все ajax-запросы.
Что касательно отчетов, то в CSP 1.0 управлять отчетами нельзя, их можно только слать или не слать, и их формирует браузер. А в CSP 1.1 будет DOM-событие о нарушении безопасности и там уже можно будет что-то с ними сделать.
Что касательно отчетов, то в CSP 1.0 управлять отчетами нельзя, их можно только слать или не слать, и их формирует браузер. А в CSP 1.1 будет DOM-событие о нарушении безопасности и там уже можно будет что-то с ними сделать.
Grammar-Nazi негодует на дизайнера вашей картинки.
Отлично :)
Может здесь ответят с чем связана странная работа яндекс почты последних 3 недели?
В частности корпоративной. У двух клиентов с разницей в 1 день оказались пустыми ящики и адресные книги у меня при чтении писем яндекс упорно рекомендовал завести новый ящик.
Может здесь ответят с чем связана странная работа яндекс почты последних 3 недели?
В частности корпоративной. У двух клиентов с разницей в 1 день оказались пустыми ящики и адресные книги у меня при чтении писем яндекс упорно рекомендовал завести новый ящик.
Немного не в тему.
Ребята, вы сделали аналитику для рассылок, но нигде не рассказали как ей пользоваться. Может быть, сделаете краткий мануал? Интересный функционал, но непонятно как с ним работать.
Ребята, вы сделали аналитику для рассылок, но нигде не рассказали как ей пользоваться. Может быть, сделаете краткий мануал? Интересный функционал, но непонятно как с ним работать.
Непонятно как делать рассылки.
Простите, но я вас не понимаю.
Вы правильно сказали: мы сделали инструмент для анализа рассылок.
Логично, что он не умеет делать рассылки, он умеет рассказывать что сталось с письмами, отправленными на Яндекс.Почту.
mail.yandex.ru/promo-postoffice
Вы правильно сказали: мы сделали инструмент для анализа рассылок.
Логично, что он не умеет делать рассылки, он умеет рассказывать что сталось с письмами, отправленными на Яндекс.Почту.
mail.yandex.ru/promo-postoffice
Сделайте пожалуйста подтверждение владения доменом через DNS-запись, не всегда существует сайт.
Можно провалидировать e-mail.
Пока что можно подтвердить владение доменом в Почте для доменов или же в Вебмастере — на этих сервисах есть подтверждение через DNS. Пользоваться этими сервисами после подключения домена не обязательно (хотя мы были бы рады новым пользователям и там тоже). В случае с Почтой для доменов можно даже не настраивать MX, достаточно только подтвердить владение. После этого владение автоматически подтвердится и в Почтовом офисе.
Статья написана год назад, а я только что увидел лог в хроме (скрин):
Refused to load the image 'https://yandexadexchange.net/claim?k=5776172222795026221&d=h' because it violates the following Content Security Policy directive: «img-src 'self' data: *.gemius.pl *.tns-counter.ru maps.googleapis.com *.yandex.ru *.yandex.net *.yandex.ru view.atdmt.com *.doubleclick.net lamoda25.ru bs.serving-sys.com r24-tech.com yandex.st yastatic.net».
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как мы сделали чтение писем безопаснее: Content Security Policy в Яндекс.Почте