А никто не запрещает копирование. Для ПС можно отдавать оптимизированную страницу, как это делают ajax сайты уже давно. Вообще изменений в юзабилити по идее не будет.
Привязки нет — экран можно ставить и убирать перед любым сайтом. В варианте с document нужно что то менять в коде сайта? Это важный момент, ведь никто не захочет подстраиваться.
Прототип запилить самому не проблема. Но 1 — как продать это банка, 2 — банкам нужна красивая штука а не кривой прототип чтобы они захотели использовать.
Посмотрите на шейп там ссылка есть. Я эту технологию за вечер написал на rack middleware, но 66 млн там совсем на другое выделены. Да и деньги нужны на крутого спеца вебкита. Я в веб секурити понимаю и знаю что нужно сделать а не как.
Так в этом и задача securecanvas создать настоящий белый список путем разрешения действий вместо запросов. Иначе это не белый список. Не бывает серого списка :)
Сервер будет отсылать DOM as-is, а на клиенте уже будут применяться те шрифты что пользователь установил. Этим как раз выгодно отличается реализация на DOM относительно картинок в canvas. Даже сторонние виджеты типа facebook like продолжат работать.
Под умным списком я подразумеваю юзер с id=1 не может загрузить /private_data/2 а только /private_data/1. Или то что юзер не может поставить другой контент тайп. Такие вещи невозможно предугадать, а более гибкий список пропустит кучу векторов.
>Не понятна цель, если цель писать банк-клиенты, почему не ограничиться статикой без ajax-красивостей, тогда узкое место будет там же — в параметрах принимаемых форм.
цель защититься от уязвимостей по типу Shellshock или Rails RCE что была два года назад. Это баги фреймворка, и даже при системе основанной на формах фреймворк открыт для кучи атак. Ну а разрабатывать без фреймворка еще хуже выйдет.
Это уже более вероятно, но незначительно редко (да и кто вручную ставит год публикации). Обычно используют кавычки или ORM. Куда чаще SQLi закрадывается в скрытый тэг, дропдаун или сортировку, с чем мы и боремся. Вот пример rails-sqli.org/ — там от интерфейса ничего не зависит.
Штуку посмотрю, но картинки в PNG не катят из за качества.
А как построить по настоящему умный белый список? Он ведь изменяется постоянно. Посмотрите 3 вариант на securecanvas.com — там как раз белый список запросов с помощью браузера-близнеца.
Что значит подмена клиента подделывающего diff-DOM?
Неуязвимый фронтенд это что? Передача кликов по HTTP будет слишком медленной, поэтому кроме вебсокета ничего не рассматривается. Ну и задача чтобы работало из-коробки.
Посмотрите на шейп там ссылка есть. Я эту технологию за вечер написал на rack middleware, но 66 млн там совсем на другое выделены. Да и деньги нужны на крутого спеца вебкита. Я в веб секурити понимаю и знаю что нужно сделать а не как.
цель защититься от уязвимостей по типу Shellshock или Rails RCE что была два года назад. Это баги фреймворка, и даже при системе основанной на формах фреймворк открыт для кучи атак. Ну а разрабатывать без фреймворка еще хуже выйдет.
А как построить по настоящему умный белый список? Он ведь изменяется постоянно. Посмотрите 3 вариант на securecanvas.com — там как раз белый список запросов с помощью браузера-близнеца.
Неуязвимый фронтенд это что? Передача кликов по HTTP будет слишком медленной, поэтому кроме вебсокета ничего не рассматривается. Ну и задача чтобы работало из-коробки.