Когда находил XSS в ЖЖ, мой пост скопировали в yablor. Алерт стал появляться и там. В ЖЖ после отписки это закрыли, а на яблоре так и висит.
Причем я им отписывал — больше года прошло — никакой реакции, ловите привет парни, поменял текст: yablor.ru/blogs/lobotomiya-v-domashnih-usloviyah/1207325
.htaccess, наверное, даже проще, но появляется гипотетическая вероятность его, например, потерять при переезде, или хостер может внезапно его зачем-то переписать — сталкивался с таким на шаред. А тут, вроде как, на уровне приложения контекст вызова проверяется.
В IDE шаблоны прописываются, поэтому меня лично вообще не напрягает.
Получается мы создаем запись в базе, которая совершенно бесполезна нам.
Это называется «не обеспечена целостность данных». Используйте ограничения на уровне скуля, гуглить «innodb foreign».
Куки лучше подписывать соленым хешем, при их отправке браузеру. Т.е. если нужно записать в куки значение
Cookie::getinstance()->set('key', 'value');
то в методе set к value, через разделитель, конкатенировать хеш этого значения, например md5('value'.md5(Cookie::$salt));, а сразу при обработке запроса проверять валидна ли подпись куки, и если нет — тереть такую куку, тогда для всего остального приложения ее просто не будет существовать.
Там просто так получилось, что когда эта новость появилась, Украинцам было изначально понятно что это тонкий троллинг депутата Ляшко. А наши, видимо, не в теме (не зная некоторых тонкостейй) и всерьез это все восприняли. Как мне писал приятель:
в истории с украинской новостью нюанс есть
в первой, более расширенной версии, которая мне попалась, сказано, что стоя аплодировал депутат Ляшко!
это наш депутат прославившийся скандалом гомосексуальным [цензура] себе мандат
в таком контексте сразу понятно, что это веселуха:)
У вас уже написано «некоторые депутаты», и смысл пропал:)
Это они и сейчас повально делают. Но это не явное и прямое согласие же, т.к., формально, нельзя быть до конца уверенным, что этот чекбокс отметил именно я, а не кто-то другой с моей машины, и что данные, которые я указал, именно мои, а не соседа, например.
А пункт 3 либо я просто не понимаю, либо это технически непонятно как осуществить без магии.
Например, пункт 2, получается, практический на любой чих со стороны какого-нибудь сервиса (как оператора ПД), заставит его навязать своим пользователям процедуру идентификации, навроде идентификации в яндекс.деньгах), т.к. это на сегодняшний день единственный простой способ идентифицировать пользователя. Получается, чтобы, например, Хабр присылал мне в почту ответы на комменты, он заставит меня пройти идентифицирующий квест — ведь это использование моих ПД. Или у них под ПД не любые данные понимаются, и не любые действия — использование?
Или пункт 5. Напомнил шутку про принятый вна Украине закон, запрещающий заниматься любовью в миссионерской позе. Принять — приняли, а как проверять исполнение?
А не проще питание куда-нибудь подавать, чтобы что-нибудь важное и дорогое сгорало?
Причем я им отписывал — больше года прошло — никакой реакции, ловите привет парни, поменял текст: yablor.ru/blogs/lobotomiya-v-domashnih-usloviyah/1207325
В IDE шаблоны прописываются, поэтому меня лично вообще не напрягает.
Это называется «не обеспечена целостность данных». Используйте ограничения на уровне скуля, гуглить «innodb foreign».
Куки лучше подписывать соленым хешем, при их отправке браузеру. Т.е. если нужно записать в куки значение
то в методе set к value, через разделитель, конкатенировать хеш этого значения, например md5('value'.md5(Cookie::$salt));, а сразу при обработке запроса проверять валидна ли подпись куки, и если нет — тереть такую куку, тогда для всего остального приложения ее просто не будет существовать.
С другой стороны… да в принципе тоже ничего страшного.
Да и сама ситуация… Детский сад, штаны на лямках.
Тогда не закеширует.
Имхо — зря молча переводят в read-only — рисовали бы что нибудь рядом с комментарием. Чтоб хоть другим была наука.
В жежешечке дружно это все друг у друга копипастили и хихикали. Потом выяснилось что утка.
А пункт 3 либо я просто не понимаю, либо это технически непонятно как осуществить без магии.
Например, пункт 2, получается, практический на любой чих со стороны какого-нибудь сервиса (как оператора ПД), заставит его навязать своим пользователям процедуру идентификации, навроде идентификации в яндекс.деньгах), т.к. это на сегодняшний день единственный простой способ идентифицировать пользователя. Получается, чтобы, например, Хабр присылал мне в почту ответы на комменты, он заставит меня пройти идентифицирующий квест — ведь это использование моих ПД. Или у них под ПД не любые данные понимаются, и не любые действия — использование?
Или пункт 5. Напомнил шутку про принятый вна Украине закон, запрещающий заниматься любовью в миссионерской позе. Принять — приняли, а как проверять исполнение?