>«поднимите руки те, кто знает что такое политики единого источника»
я бы тоже не поднял, зачем переводить same origin policy
>ни один серверный фреймворк не способен защитить веб-приложение от DOM-based XSS;
да, но dom based xss является результатом плохой архитектуры(хранения данных в class или копирование .html()без эскейпа) поэтому не велика беда
X-XSS-Protection: 1; mode=block
рекомендую не только для ie — xss auditor опасен(http://homakov.blogspot.com/2012/06/saferweb-with-new-features-come-new.html)
мое хобби ruby/rails и web security
2 месяца жил в Испании и решил продолжить путешествия, сейчас София потом жить в Берлин(есть кто оттуда?)
хочешь бросить универ и хорошо жить спроси меня как
>Ну и имхо — выкинуть нафик сценарий с login\password =) одно это приведет к #security-fail, что приложение будет хранить логин и пароль плэйн текстом…
нельзя. самый прикол этой отенфикации что приложение НЕ хранит их. оно использует их только чтобы получить токен и рефреш токен. хранить НЕЛЬЗЯ. это сделали чтобы приложению не пришлось открывать браузер и вырезать акцес токен из хеша.
это у вас аргументы «сперва добейся». чтобы критиковать пианиста надо хорошо уметь играть? чтобы критиковать высер одного из авторов стандарта надо быть автором стандарта? я читал обе спецификации и реализовывал. несмотря на некоторые слабости oauth2 их еще можно исправить. а неудобный oauth1 осталось только сжечь.
вот именно. oauth2 тупо удобнее и проще. осталось решить моменты связанные с безопасностью(стать строже а не просто SHOULD) ну и побольше стандартных урлов для interoperability
я бы тоже не поднял, зачем переводить same origin policy
>ни один серверный фреймворк не способен защитить веб-приложение от DOM-based XSS;
да, но dom based xss является результатом плохой архитектуры(хранения данных в class или копирование .html()без эскейпа) поэтому не велика беда
X-XSS-Protection: 1; mode=block
рекомендую не только для ie — xss auditor опасен(http://homakov.blogspot.com/2012/06/saferweb-with-new-features-come-new.html)
2 месяца жил в Испании и решил продолжить путешествия, сейчас София потом жить в Берлин(есть кто оттуда?)
хочешь бросить универ и хорошо жить спроси меня как
нельзя. самый прикол этой отенфикации что приложение НЕ хранит их. оно использует их только чтобы получить токен и рефреш токен. хранить НЕЛЬЗЯ. это сделали чтобы приложению не пришлось открывать браузер и вырезать акцес токен из хеша.
elfet.ru/example/git.php?ls