Nagrywarki |
Pliki |
Dyski twarde |
Recenzje |
Księgarnia |
Biosy |
Artykuły |
Nagrywanie od A do Z |
Słownik |
FAQ
|
||
|
Propozycje, sugestie, błędy forum Zauważyłeś błąd na forum lub serwisie a może masz jakąś sugestię? Podziel się tym z nami. |
|
Opcje związane z dyskusją | Tryby wyświetlania |
14.02.2011, 13:48 | #16 | ||
logged out
CDRinfo VIP
Data rejestracji: 12.07.2003
Lokalizacja: /home
Posty: 12,518
|
Cytat:
Niestety nie da się na to nic poradzić, nie jest to błąd wdrożenia SSLa jak pisałeś a tylko to że internet nie jest siecią scentralizowaną i nie da się uniknąć linkowania do serwisów bez HTTPS. Cytat:
__________________
XMPP: andrzej(at)czerniak.info.pl Ostatnio zmieniany przez andy : 14.02.2011 o godz. 13:50 |
||
#ads | |
CDRinfo.pl
Reklamowiec
Data rejestracji: 29.12.2008
Lokalizacja: Sieć globalna
Wiek: 31
Posty: 1227
|
|
14.02.2011, 19:12 | #17 | |
Թ
Data rejestracji: 13.02.2003
Posty: 3,066
|
Cytat:
1. Skrypt tnie z postów linki img src - proste. 2. Skrypt ładuje hotlinkowany obrazek i wyświetla go z własnej domeny - niebezpieczne z wielu powodów (także prawnych) i zasobożerne. Jeśli już to ładowanie powinno być do cache + sprawdzanie czy img istnieje (ale to fail, z uwagi na to sprawdzanie) 3. Skrypt ciacha jak w pkt.1, ałe daje ajaxowy box, którym można wyświetlić na żądanie (bez uwierzytelniania). 4. Skrypt ciacha wszelkie obrazki (także avatary, buttony, banery itd), zarówno z domeny jak i spoza - oszczędzamy zasoby, bo SSL to ładnie ssie (zarówno serwer jak i browsera na wolniejszych komputerach). Wszelkie obrazki w postach mogłyby być w ajaxowym boxie (user klika i dopiero widzi - uwierzytelnione, szyfrowane) Nie jest to kosmos do wdrożenia, w miarę prosta sprawa. Pkt 4 jest najlepszy. I upieram się, że nie zrobienie powyższego byłoby failem we wdrożeniu zabezpieczenia To tak jakby założyć kłódkę na drzwi, które z zawiasów wylatują od kopniaka. O, masz na niebezpieczniku: http://niebezpiecznik.pl/post/kraty-...ia-w-kartonie/ SSL wdraża się m.in. dla poufności, a co to za poufność gdy ruski serwer widzi, że oglądam cycki w Śmietniku //edit inna sprawa to gemiusy, adserwery itd, ale to już osobna sprawa Ostatnio zmieniany przez pali : 14.02.2011 o godz. 19:27 |
|
14.02.2011, 20:36 | #18 | |
logged out
CDRinfo VIP
Data rejestracji: 12.07.2003
Lokalizacja: /home
Posty: 12,518
|
Cytat:
__________________
XMPP: andrzej(at)czerniak.info.pl |
|
14.02.2011, 22:11 | #19 |
Թ
Data rejestracji: 13.02.2003
Posty: 3,066
|
Dokładnie tak jak mówisz.
Problem polega na tym, że gdy wchodzę na witrynę tak mocno zabezpieczoną (czyli SSL) intuicyjnie zakładam, że jej admin zapewnił mi poufność we wszelkich aspektach (także tych, których SSL z natury rzeczy nie obejmuje). Myślę, że ZU który nie rozumie co to SSL, a widzi te kłódki i pieczęcie - czyni to samo założenie. Stąd jeśli jest solidna kłódka (SSL) to muszą być i kraty --------------------------------------- A co do metody ataku przez te "obrazki", o których tyle rozpisaliśmy się (ale przynajmniej dogadaliśmy się ) proponuję ten link: Uwaga: ten link jest całkowicie bezpieczny, o ile nie podasz w okienku, które wyskoczy - prawdziwego loginu z tego forum. Gwarantuję! Niech mnie Bartezu zabije, jeśli jest inaczej. Podaj wymyśloną nazwę, która zupełnie Ciebie nie identyfikuje. Po wypełnieniu prośby o name i uważnym przeczytaniu komunikatów będzie jasne, dlaczego prosiłem o zmianę nicka Linka przeklejamy, a nie klikamy, bo to nie mój serwer i wolę nie ryzykować słowem za to co on ew. zbiera (kto nie wie co może zbierać, niech po prostu przekleja ) Wypelnić "name" i kliknąć ten guzik z głupimi napisami. ------------------------------------ Ostatnio zmieniany przez pali : 14.02.2011 o godz. 22:14 |
14.02.2011, 22:41 | #20 | ||
logged out
CDRinfo VIP
Data rejestracji: 12.07.2003
Lokalizacja: /home
Posty: 12,518
|
Cytat:
"Good boy, PALI! You didn't watch any porn recently." http://img580.imageshack.us/img580/8/screen005l.png Cytat:
__________________
XMPP: andrzej(at)czerniak.info.pl |
||
14.02.2011, 22:47 | #21 |
Pingwin specjalista.
Data rejestracji: 22.06.2002
Lokalizacja: Central Park
Posty: 15,084
|
andy odpalił kartę prywatną
__________________
amiga500site |
14.02.2011, 22:47 | #22 |
Թ
Data rejestracji: 13.02.2003
Posty: 3,066
|
heh, no nie musiałeś zdradzać
A co tam masz włączone, tryb prywatny? ----------------------- Nie tylko niewiedza. Zobacz, otwieram wątek na forum, spodziewam się, że całość idzie po SSL, a tu mi wyskakuje content z innej domeny. I co? Skąd mam wiedzieć zawczasu, że tak nie jest? Of course, browser ostrzeże, o ile jako ZU nie wyłączyłem ostrzeżenia... Bo np. wyskakiwały ciągle przy wielu innych takich witrynach.... Nie powinna tym sterować przeglądarka, moim zdaniem, tylko witryna powinna być odpowiednio zrobiona. |
14.02.2011, 22:54 | #23 | |||
logged out
CDRinfo VIP
Data rejestracji: 12.07.2003
Lokalizacja: /home
Posty: 12,518
|
Cytat:
Cytat:
FF4 nie jest podatny na ten atak więc rozszerzenie jest zbędne Na Operce/IE/Safari/Chrome wyświetla jak się oglądało ? Cytat:
__________________
XMPP: andrzej(at)czerniak.info.pl |
|||
14.02.2011, 22:57 | #24 |
Pingwin specjalista.
Data rejestracji: 22.06.2002
Lokalizacja: Central Park
Posty: 15,084
|
Lekarstwo na 49% badzewia roznoszącego się przez www to nie instalowanie lub odinstalowanie JAVY.
Wszystkie fake antywirusy, antymalware co to pięknie wyglądają i udają skanowanie pracują właśnie na tym. Ostatnio strona Smartka padła atakiem tego, btw nawet nie wiem czy to naprawił - ale wolę nie sprawdzać.
__________________
amiga500site |
14.02.2011, 23:03 | #25 | ||
logged out
CDRinfo VIP
Data rejestracji: 12.07.2003
Lokalizacja: /home
Posty: 12,518
|
Cytat:
Cytat:
__________________
XMPP: andrzej(at)czerniak.info.pl |
||
14.02.2011, 23:11 | #26 |
Թ
Data rejestracji: 13.02.2003
Posty: 3,066
|
A jakże, wyświetla (fx 3.6, opera też):
kiszka to ja, sam wszedłem Zauważ, że przy hotlinku jpeg mozna to inaczej wybadać, didyouwatchporn cache nie sprawdza - ale to już faktycznie temat na inną dyskusję, masz rację. Dobranoc Ostatnio zmieniany przez pali : 14.02.2011 o godz. 23:15 |
15.02.2011, 00:36 | #27 | ||
Pingwin specjalista.
Data rejestracji: 22.06.2002
Lokalizacja: Central Park
Posty: 15,084
|
Cytat:
No i nie jestem... nie wiem co tam cenzura wycięła Cytat:
nie mam powodów by zmyślać... zassał się fake antywir, który ściągał rootkity. Po tamtym eksperymencie usunąłem Javę, bo i tak z niej teraz nie korzystam. PS Co gorsza Smartek tego nie wyciął chyba - avast mi się pluje cały czas, JS: Downloader po wejściu na jego stronę.
__________________
amiga500site Ostatnio zmieniany przez Patrix : 15.02.2011 o godz. 00:41 |
||
15.02.2011, 08:40 | #28 | |
Team Member
Zlotowicz
Data rejestracji: 18.10.2002
Lokalizacja: malopolska
Posty: 4,175
|
Cytat:
Co do tematu uwierzytelniania SSL - wszędzie, gdzie mamy do czynienia z treścią generowaną przez użytkownika (User Generated Content) problem będzie istniał. Tylko w przypadku stron, które są zamkniętą całością (np strona banku) i nie ma możliwości dodawania własnej treści SSL zapewnia 100% wiarygodności strony. Oczywiście można zrobić coś z tych punktów, które wymienił pali. Z tego co się orientuję np facebook nie umożliwia bezpośredniego linkowania do obrazków, jeżeli połączenie jest po https. |
|
16.02.2011, 16:19 | #29 |
Pingwin specjalista.
Data rejestracji: 22.06.2002
Lokalizacja: Central Park
Posty: 15,084
|
Na FB dla Polski SSL włączyli. Jednak nie działa to jeszcze dość dobrze, przy zaznaczonej opcji SSL nie działa czat...
__________________
amiga500site |
16.02.2011, 16:33 | #30 |
logged out
CDRinfo VIP
Data rejestracji: 12.07.2003
Lokalizacja: /home
Posty: 12,518
|
__________________
XMPP: andrzej(at)czerniak.info.pl |
|
|
Podobne dyskusje | ||||
Dyskusja | Autor | Forum | Odpow. | Ostatni Post |
Pranie #@$%*& ! | mr_spock | Off topic | 55 | 06.09.2004 12:01 |
Duze ilości postów typu @@ Klucz do Clon-a @@ - Antidotum | Sniper | Off topic | 19 | 16.02.2003 11:09 |
Regulamin Forum CDRinfo.pl | Monter | Ogłoszenia i komunikaty | 0 | 21.10.2002 13:28 |