Kispad

Kispad: közös blog
4230 cikk, 53889 hozzászólás
Szerzők | Tudnivalók | Feedek


Idegen kód manipulál

eszpee cikke a Torokgeek rovatból, 2004. július 3. szombat, 00:41 | 11 hozzászólás

Na ilyet nem szoktam, és a jövőben se tervezek, de ez olyan szinten félretájékoztató kamuszöveg, hogy nem bírom ki. Elnézést előre is, nem akarok port összerúgni senkivel, mindenkinek lehetnek rossz napjai.

A biztonsági rés lényege abban áll, hogy a weboldal nyitott keretein át (frame) idegen szerverek HTML-kódot csempészhetnek be.

Hogy is van ez? Elmondom: aki kicsit is ismeri a HTMLt, az tudja, hogy minden frame-nek (egyébként az is megérdemli, aki 2004ben frame-eket használ...) van egy neve, amivel tudsz rá hivatkozni, ha oda akarsz megnyitni egy másik frame-ből hivatkozott oldalt.

Ha történetesen tudod az adott "megbízható site" frame-jének nevét, akkor minden gond nélkül tudsz oda is betölteni oldalt (ehhez még link se kell, mondjuk egy automatikusan lefutó JavaScript is elég), ennyi az egész. Látszólag. Ugyanis ahhoz, hogy vissza lehessen élni ezzel a trükkel, az kell, hogy a megcélzott felhasználónál egyszerre legyen nyitva a hacker siteja és a "megbízható site" is, ami ráadásul kereteket használ. Lássuk be, nem kimondottan mindennapos eset.

A cikken a hab az alternatív böngészők használatának propagálása, mivel az általában tuti szöveg sajnos itt nem jött be, a "security hole" ugyanis a HTML specifikációban van, így a szabványhű böngészőkkel is természetesen elérhető a fenti csel. Ezt bárki ki is próbálhatja magának, mondjuk itt.

Update: 4.8as Netscape Navigator-ban tényleg nem megy a cucc, mea culpa, először csak Operával és Firefoxszal néztem.

» Ugorj a hozzászóló ablakhoz

Megosztások Facebookon

Eddigi hozzászólások (11)

1

Deansdale, 2004. augusztus 5. csütörtök, 04:13 (#)

Hali!
Eszpee, mi bajod a keretekkel? Szerintem ennek az oldalnak a tetejére is elférne egy menü ami mindig látszik...

2

eszpee, 2004. augusztus 5. csütörtök, 09:43 (#)

Hát, mi is... szétkapja az oldalt, nem lehet a lap url-jét könnyen kinyerni a usernek, keresők is szívnak vele, szöveges és hangos böngészők sem szeretik, stb. Nem azt mondom, hogy 100% evil, van, ahol tényleg jól jön, de az esetek nagy részében felesleges.

3

Deansdale, 2004. augusztus 19. csütörtök, 21:33 (#)

Köszi...
Mit értesz szöveges és hangos böngészők alatt?
És mi a véleményed arról, hogy az adatforgalmat csökkenti?
(Persze csak akkor válaszolj ha van kedved :)))

4

eszpee, 2004. augusztus 19. csütörtök, 22:38 (#)

Szöveges böngésző: pl. lynx, karakteres terminálon működő cucc. Lehet, hogy már csak a múlt egy nosztalgikus emléke, de hetekkel ezelőtt én is rákényszerültem egy félórára, modemes kapcsolaton kicsit gyorsabb, miközben az ember a családtagjai XPjét patcheli. Plusz ne felejtsük el, hogy egy szöveges böngészőt mindenki nap mint nap használ: például a google-t. Ugyanis amit a google lát a lapodból, az annyi, amennyit egy szöveges böngésző lát.

Hangos böngésző: a vakok nem látnak, de azért még böngész(né)nek. Frame-ek nélkül lehetőleg.

De térjünk vissza az első kommentedben a sesblogra javasolt állandó menüre. Mi lehetne ebben? Mondjuk ami most jobbra van, friss kommentek, kereső, archívum, előző-következő cikk, statikus linkek, stb. Viszont ezek közül a friss kommentek és az előző-következő cikkek nem mehetnek frame-be, mivel dinamikus elemek, és a másik frame-ben történő lapváltást nem veszik észre. Maradnának a statikus linkek frame-ben, ok, és a dinamikus dolgok külön az oldalon. Mennyi hely maradna ezek mellett a tartalomnak? Pláne, hogy a statikus frame állandóan, tartalom-görgetés után is foglalja a helyet? És akkor arról még nem is beszéltünk, hogy más van itt oldalt nálunk a címlapon és más az aloldalakon...

De mégegyszer, nem azt mondom, hogy soha, semmikor. Lehet, hogy van olyan feladat, amire jó megoldás a frame-es szerkezet, de ilyenkor a tervezésnél és a kivitelezésnél is nagyon körültekintően kell eljárni, különben többet vesztünk az ügyön, mint amennyit nyertünk.

5

eszpee, 2004. augusztus 19. csütörtök, 22:42 (#)

Ja, az adatforgalom-csökkenést kihagytam. Igen, ez a kevés előnyök egyike. :)

6

Deansdale, 2004. augusztus 26. csütörtök, 06:59 (#)

Köszönöm a részletes választ :)
Épp egy statikus menürendszerű oldalt készülök összerakni, és szerintem maradok a kereteknél, de ezek után legalább oda tudok figyelni 1-2 buktatóra...
Szóval ezer hála és köszönet :)))

7

_FreeMan_, 2005. szeptember 13. kedd, 23:45 (#)

A frame-nél jobb, ha az ember a CSS-t használja, ott van egy parancs, ami hasonlóvá teszi az oldalt a frame-hez, de mégis egy oldalon van minden. A lényege az, hogy a réteget fixen hagyja és ha görget az ember, akkor a lap tetején vagy valamelyik oldalán marad a menü vagy amit éppen akartok.
Bővebben: http://htmlinfo.polyhistor.hu/css2ref/visuren.htm#fixed-positioning

8

ses, 2005. szeptember 13. kedd, 23:53 (#)

_FreeMan_, ez igaz, ha társaságban viselkedni tudó böngészőkről beszélünk, de a fix pozicionálásos trükkök helyes megjelenítéséhez sok sikert az Internet Exploreren - a legtöbbször sajnos szükséged is lesz rá :)

9

_FreeMan_, 2005. szeptember 14. szerda, 00:33 (#)

Valóban!!! Köszönöm a javítást, úgy emlékeztem, hogy az IE is végrehajtja az utasítást, ezen az oldalon például azt írják, hogy a 4-es verziótól tudja a position: fixed parancsot:
http://www.w3schools.com/css/css_reference.asp#classification
De ez csak ábránd marad, ugyanis a W3C.org-on megnézve tényleg nem hagyja ott a menüt jobb oldalt:
http://www.w3.org/Style/
Azt hiszem túl sokat használom a Firefox-ot :)

10

ses, 2005. szeptember 14. szerda, 02:09 (#)

Hallod, az IE 4-es szerintem a saját nevét se tudta, annyira gyermek volt még. Na nem mintha az 5-ös már annyira tudna járni... :) De hát a kiváló w3schools-ot nem is az ilyen listáinak pontosságáért szeretjük.

11

_FreeMan_, 2005. szeptember 14. szerda, 16:29 (#)

A fene se érti, hogy az IE-be miért nem tuszkolták bele az összes CSS parancsot, mert valamennyit tud, de sajnos elég keveset, azt meg úgy kell kitalálgatni. Mennyivel megkönnyítették volna a weblapkészítők dolgát, te jó isten! Itt van a jó kis listázás, meg a pszeudó elemek, a position:fixed-ről nem is beszélve. Ehhh...!


Hozzászólsz?

Igen

Hozzászólást csak névvel együtt fogadunk el. Ha linket írsz be, akkor előtte és utána hagyj egy szóközt, főleg akkor, ha zárójelbe teszed.


Az oldal tetejére | Szerzők, tudnivalók, feedek | sesblog és Kispad © 2003-2010 ervin, eszpee, stsmork