Думаю SelenIT имел ввиду скрытую форму, и для пользователя тоже ничего не будет заметно при ее сабмите. Разве что щелчок в ИЕ, с которым тоже можно справиться, Котеров об этом на РИТ рассказывал как раз =)
все верно, но с точки зрения сервиса и csrf я буду неавторизованным пользователем для системы в другом броузере, ведь так? Смотря что брать за точку отсчета =) Я же говорю, просто термины по разному понимаем, только и всего. Вряд ли у нас есть тут какие-то расхождения технического плана.
http://premshree.livejournal.com/66129.h…
"You can do cross-domain requests in MSIE; however, this involves changing its default security settings" - хоть так =)
И там еще с помощью мод-реврайта мутки какие-то.
Ну я имел ввиду не "открытое окно с vkontakte.ru" а именно "авторизованное состояние пользователя". Если я на вконтакте нажму "Выход", то стану неавторизованым, и джаваскрипт не отработает. Просто потому что сервис меня не узнает. Я же "вышел".
Я им это первое посоветовал, они отказались сославшись на то, что в письмах пользователями часто были прямые линки (читай: GET запрос изниоткуда) на добавление друзей и пр. Но это конечно просто отмазка, можно было придумать какие-то токены случайные.
нужно сразу применить все способы с токенами в формах и прочим, описанные в вики. А затем нужно будет зачистить базу от этого линка. Другого пути ИМХО нет.
странно, только что пробовал в Сафари перед написанием поста - сработало. Может быть что-то с броузером? Или не авторизованы на вконтакте? Или какой-то ФФ-плагин типа addblock коцает эту атаку =)
О каких именно докладах идет речь? К сожалению некоторые докладчики просили заменить свои доклады на другие(. Это однако не помешает вам лично с ними пообщаться на интересующие вас темы. На данный момент доклады исчезать не будут, только 2-3 добавится.
Это обусловлено едой, длительностью и большим объемом конференции. Не получилось найти дешевле помещение под наш формат.
Но не нашей жадностью - это точно =)
Да =) я пожалуй перемудрил с хаками для Сафари... Ну, зато вроде бы сайт в целом легкий =) Пришлось пожертвовать бескартиночной доступностью в пользу дизайна...
Если тот движок себя изжил - какой смысл выкручить его ради поддержки хавера и т п, делать его медленным но таки рабочим? Вот они и приняли рациональное решение - оставить его как есть - все легаси работают, никто не умер. И выпустить новый движок - оставив прежним сайтам то что им нравилось, и надеюсь в ИЕ8 откажутся и от квирксов наконец.
При выпуске ИЕ7 очень тонко подошли к исправлению багов, было много разговоров в МСДН как поправить какой то наболевший баг, и при этом не задеть хак и т п, очень внимательно относится сейчас майкрософт к таким вещам.
негатив за поддержку вебстандартов обсуловлен медленым обновлением - ведь еще в 200 они выпустили ие5 под мак - лучший на тот момент броузер с этой точки зрения.
И с тезисом о том что квиркс моуд во всем виноват - я не согласен, даже этого квиркса вполне хватало начиная с 2000 года для качественных сайтов. Он сам по себе был прорывом на момент выпуска - с этим нельзя спорить - медленное обновление немного подпортило ситуацию...(
Если вставку доктайпа вы называете воркараундом...То (я растерялся!) как вы вообще что то тут говорили о стандартах? :)
К счастью это не баг а всего лишь часть стандартов о поддержке которых вы тут говорили... Мысль моя пришла к тому что чаще поливание МС грязью связано с недостаточной осведомленностью и модой, а не фактической поддержкой.
Ну а раз Вы не Опытный Верстальшик я думаю у Вас нет ни причин ни прав рассуждать о поддержке стандартов в ИЕ7 :P
"You can do cross-domain requests in MSIE; however, this involves changing its default security settings" - хоть так =)
И там еще с помощью мод-реврайта мутки какие-то.
xmlhttp.open("POST", "http://api.google.com/search/beta2",true);
?
Но не нашей жадностью - это точно =)
Если тот движок себя изжил - какой смысл выкручить его ради поддержки хавера и т п, делать его медленным но таки рабочим? Вот они и приняли рациональное решение - оставить его как есть - все легаси работают, никто не умер. И выпустить новый движок - оставив прежним сайтам то что им нравилось, и надеюсь в ИЕ8 откажутся и от квирксов наконец.
При выпуске ИЕ7 очень тонко подошли к исправлению багов, было много разговоров в МСДН как поправить какой то наболевший баг, и при этом не задеть хак и т п, очень внимательно относится сейчас майкрософт к таким вещам.
негатив за поддержку вебстандартов обсуловлен медленым обновлением - ведь еще в 200 они выпустили ие5 под мак - лучший на тот момент броузер с этой точки зрения.
И с тезисом о том что квиркс моуд во всем виноват - я не согласен, даже этого квиркса вполне хватало начиная с 2000 года для качественных сайтов. Он сам по себе был прорывом на момент выпуска - с этим нельзя спорить - медленное обновление немного подпортило ситуацию...(
К счастью это не баг а всего лишь часть стандартов о поддержке которых вы тут говорили... Мысль моя пришла к тому что чаще поливание МС грязью связано с недостаточной осведомленностью и модой, а не фактической поддержкой.
Ну а раз Вы не Опытный Верстальшик я думаю у Вас нет ни причин ни прав рассуждать о поддержке стандартов в ИЕ7 :P