Snake800

Snake800
Рейтинг
237
Регистрация
02.02.2011
(_._)
Взрывающиеся пейджеры
богоносец #:
Часть политбюро регулярно, с помощью ФСО, проверяет свои устройства связи,  а часть - просто не доверяет ФСО и представителям руководства силового блока,  но беспокойство проявили все. Каждый из членов политбюро, увидев кадры с оторванными конечностями и с дырками в животах и головах представителей Хезболла, представил себя на их месте

Это они лично Невзорову сказали?
Подгрузка картинки с внешнего сайта. Безопасно ли?
Для пущей секьюрности можно настроить CSP, которая разрешает тянуть со стороннего домена только изображения и ничего больше.
Кстати, если бы браузеры завезли в тэг img атрибут integrity - вопроса вообще бы не стояло ))
Подгрузка картинки с внешнего сайта. Безопасно ли?
Devvver #:
Мой сайт - стандартный Wordpress.

Ну раз это не какой-то банкиг, то я практически уверен, что плохих последствий не будет. В конце-концов, внедряют же в почтовых рассылках трэк-пиксели, вставляют изображения на форумы и ничего - все живы-здоровы. При самом плохом и практически неосуществимом сценарии, возможны действия с привелегиями юзера, посещающего страницу. Типа коммент там отправить, ну или какие там у него будут права. Но это прям околонулевые шансы и на сайте должны иметься другие уязвимости, чтоб так заэксплойтить.

Для полноты угроз, тут ещё не упомянали возможность отправки gzip-бомб. Но они в общем-то безобидные да и нафиг не нужны. Если баннер заказывает не конкурент, решивший сделать мелкую пакость (попытаться ухудшить ПФ).

Подгрузка картинки с внешнего сайта. Безопасно ли?
Антоний Казанский #:
Сразу вопрос - причём тут svg, если TC конкретно указал png?

Потому что на удаленном сервере. Неконтролируемый. Сегодня это png, а завтра - исполняемый файл.



Антоний Казанский #:
Вопрос - зачем в svg встраивать JS, в чём необходимость?

Спецификация-с...
Подгрузка картинки с внешнего сайта. Безопасно ли?
Антоний Казанский #:
Подробнее есть информация на эту тему (конкретные случаи взлома)?

Ещё раз. Скрипт, подключенный через тэг <img>, не исполняется. Это довольно безопасно. Примерно, как малварь, просто лежащий в папке на компе сам по себе безопасен. Но браузеры могут исполнить svg файл, вернее, встроенный в него js. Конкретно по случаям - в Опере лет 10-15 назад долгое время была серьезная уязвимость, как раз связанная с загрузкой изображений. Детали не помню, это надо искать-вспоминать, но дыра была существенная. После этого, кстати, популярность браузера сильно упала.
Подгрузка картинки с внешнего сайта. Безопасно ли?
В данном случае одна из основных угроз - возможность загрузки svg-изображения, которое может нести в себе яваскрипты. Но современные браузеры не исполняют js из атрибута src тэга img и на встроенном изображении скрипты будут проигнорированы. Однако они исполнятся при прямой загрузке по url изображения, но уже нмкак не будут связаны с вашим доменом. Просто как скрипт на левом сайте. Если он окажется зловредным - да, ваш сайт может получить метку.
Второе - куки. Они, как правило, могут приниматься и ставиться только в рамках домена, т.е. изолированы: куки сайта одна область, куки картинки - другая. Долго объяснять нюансы и обычно угрозы нет, но если сомневаетесь, лучше изучить вопрос и перепроверить свои настройки сервера и поведение своих js скриптов. В частности, области видимости - js/http, разрешенные домены, cors, наличие каких-то "навороченных" или дырчатых js на странице и т.д.
Третье - исполняемые скрипты на удаленном сервере. Тут ваще можно не париться, как формируется изображение - статикой, php или что либо ещё. Важен лишь контент, возвращаемый браузеру.
Ну и четвёртое - реальная, но маловероятная угроза - перенаправление юзерских запросов на сторонние ресурсы. Например, с целью ddos. Но через <img> больше одного запроса за раз не кинешь. Кстати,  этим тэгом даже прекрасно крутятся поисковые подсказки через те же картиночные дорвеи, прущие картики с вашего сайта и простейшую защиту от хотлинкинга. Но вряд-ли у покупателя такая цель, когда это можно делать легко и бесплатно.
Где отдохнуть реальному IT айтишнику в этом году?
leoseo #:
Но как бы всё равно пенсия 3600$  на двоих  в месяц это дофига

Для пенсии может быть и нормально. Но, насколько понимаю, по австралийским меркам это немного. Жизнь в Австралии вроде не дешёвая.

Аутентикация/Авторизация для сайта/сервиса
Sly32 #:
скопировал токен в браузере, потом на своем компе вошел на страничку пофиля и подменил в браузере в куках токен? Я получу доступ к чужой странице?

Скорее всего, да. Это же http протокол и "обычные пароли". Тут единственный вариант хранить и сверять дополнительные отпечатки: юзерагент, ip и другие общедостуные сведения. Хотя и это не панацея.
Аутентикация/Авторизация для сайта/сервиса
Sly32 :
Главный вопрос - насктолько это надежно?

Мелкомягкие и их последователи делают именно так (.net Identity). В куке под RSA256 вся информация о юзере: логин, права и т.п. Выглядит немного пугающе, но на самом деле довольно надёжно: без приватного ключа не подделать. Плюс expiration tokens. Есть вариация с session id под тем же rsa. Она, как мне видится, чуть более безопасна и меньше в обёме, но малость напрягает сервер.
Цены на продукты 2024!
leoseo #:
Упустили возможность жить в  тропическом раю, а не в серой холодной России.  

У группы Каста, когда-то в прошлой жизни, на этот счёт были такие строки:


Зато узнаешь цену золоту, улыбки русской девочки
Сравнишь её с импортной овечкой, что, как икру, их мечет
Я эту кухню знаю: лайнер поднимет в воздух
Поймёшь, что прогоняешь, да только поздно
/"На порядок выше", 2002г./

1... 91011121314151617 ...206
Всего: 2060