andy,
wydaje mi się, że nie rozumiemy się
Ja nie mówię o żadnych odnośnikach. Mówię o contencie z innych domen.
Obrazek w moim scenariuszu nie zawiera żadnego linka (zresztą jak obrazek może linka zawierać?) - jest zwyczajnym JPEG, który chcę zapisać do twojego cache, abym mógł Ciebie zidentyfikować na zupełnie innej witrynie. Jeśli wykryję, że masz w cache ten obrazek, to wyświetlam stronę przygotowaną pod Ciebie. Załóżmy, że było to na serwerze policyjni.pl, do którego uzyskałem dostęp i właśnie wykorzystałem... Nikt inny nie widzi tej strony, każdy kto nie ma w cache tego obrazka widzi oryginalną zawartość. A znowuż Ty na policyjni.pl nie zobaczysz obrazka
Dzięki jednemu obrazkowi wstawionemu na Onion (gdyby można było), widzę wszystkie IP które obejrzały ten wątek.
Jeśli jestem ze służb, to mam też adresy abonentów łącza.
Porównuję uzyskaną listę z listą zboczeńców, wywrotowców itd
I cała prywatność TORa o kant d... przez jeden obrazek.
To samo dotyczy witryny zabezpieczonej przez SSL. Jeśli wyświetla ona content z innych domen, to jest to dziura we wdrożeniu (nie w SSL), bo nie zapewniamy chociażby poufności.
User albo ma złudne poczucie prywatności albo jest świadomy i narażamy go na wyświetlanie treści idącej poza tunelem.
Jeśli przeglądarka wyświetli ostrzeżenie: ZU zaakceptuje bezmyślnie, co jest jeszcze gorsze niż brak zabezpieczeń.
Rozwiązaniem jest wycięcie contentu spoza domeny. Zgadzasz się?
Cytat:
|
Wprowadzenie SSLa tylko dla konkretnych użytkowników było by o wielie trudniejsze niż wprowadzenie tego dla wszystkich. No ale jak Bartez wcześniej napisał skoro nie ma sprzętu do tego to nie ma o czym mówić.
|
Pewnie, że tak, bo wymagałoby dorobienia ficzerów do forum.
Ale właśnie chodzi o zasoby.
Jakby się dwóch raz na dobę zalogowało po SSL, to jest to zupełnie co innego niż wszyscy logujący się tak, czy potrzebują czy nie.