Ropogós

Nincsenek friss tartalmak.

» A teljes listához

Új hozzászólások

» 2017.02.16. 15:38:22, Noel @ Nem minden privacy tipp "tuti"

» 2016.11.13. 13:14:07, Illés bence jános @ Hogyan válasszunk erős jelszót?

» 2016.09.24. 07:22:07, Bola Online @ Alkalmazott kriptográfia – TrueCrypt

» 2015.12.25. 21:18:36, MobilKém @ Lehallgatható kikapcsolt állapotban a mobiltelefon?

» 2015.11.26. 21:38:36, [anonymous] @ Titokban összesúg a tévé és az okostelefon

Furcsa, privátszféra-sértő AJAX viselkedés népszerű böngészőkben

| | 2012.06.15. 05:10:43  Boda Károly  

Vissza

A böngészőprogramok JavaScript API-ja lehetővé teszi tartalmak elérését az oldal újratöltése nélkül, az ezt megvalósító technikák közös elnevezése AJAX (Aszinkron JavaScript és XML). A lekérések (POST, GET) ugyanúgy URL-eken keresztül történnek, mint szinkron esetben, azonban a szerver válaszát a lekérést indító JavaScript program kapja meg, és dolgozza fel.

A privátszféra oldaláról tekintve felmerülhet a kérdés, hogy ily módon egy weboldal lekérheti-e harmadik fél tartalmát, vagy küldhet-e neki adatot (pl. azonosítót)? Számos, a módszert kihasználó visszaélési lehetőség előfordulhat, például egy harmadik fél hirdetésen keresztül futtathana olyan kódot, amivel a weboldal sütijeit, űrlapmező kitöltéseit “küldi haza” – csak a támadó kreativitásán múlik, hogy mire használja. Ennek megelőzésére szolgál az ún. „same origin policy” (azonos eredet irányelv), amely korlátozza az AJAX hívásokkal elérhető tartományt: csak az azonos protokollt és domén nevet tartalmazó URL címek elérését engedélyezi.

A szűrő módszer működését megvizsgáltam az öt vezető böngészőben (Firefox, Internet Explorer, Chrome, Safari, Opera) egy erre a célra készített egyszerű HTML oldal segítségével, amely egy AJAX lekérést indít harmadik fél tartalmának betöltésére. A böngészők látszólag nem hajtották végre a lekérést, a külső tartalmat nem kapta meg a JavaScript kód. Ez azonban nem győzött meg teljesen, ezért a HTTP kommunikációt is megfigyeltem a Wireshark hálózati protokollelemző szoftverrel, és igen meglepő eredményt kaptam.

Az ötből három böngésző esetén (Firefox, Chrome, Safari) megtörténik a lekérés, a böngészőprogramok megkapják a harmadik féltől származó tartalmat. Ennek oka, hogy nem a lekérés végrehajtása előtt, hanem az után hajtják végre a domén szűrést, ennek következtében mindig megtörténik a tartalom letöltése. Ha nem továbbítják a JavaScript kódnak a letöltött tartalmat, akkor nincs értelme a lekérés végrehajtásának, emiatt ez egy tervezési hiba benyomását kelti. Ez a működés újabb webpoloska jellegű módszerek alkalmazását teszi lehetővé, de egyszerűbb módon: nem szükséges HTML objektum létrehozása (pl. image), elég az URL cím lekérése, sőt, a POST is működik, így nagyobb mennyiségű adat küldése is lehetséges.

Habár a módszer nem böngészőfüggetlen, a hatékony webpoloska jellegű alkalmazási lehetőség miatt célszerű a hiba javítása minden böngészőben.

Címkék: web 2.0, webes privátszféra

Permalink: https://pet-portal.eu/blog/read/463/2012-06-15-Furcsa-privatszfera-serto-AJAX-viselkedes-nepszeru-bo...

Vissza


Hozzászólások

Összesen 0 hozzászólás látható.

Nincsenek hozzászólások.


Új hozzászólás beküldése

Bárki hozzászólhat, nem regisztrált beküldő esetén egyik adat megadása sem kötelező - a hozzászólás akár névtelen is lehet.

Név:
E-mail:
Blog:
Megerősítési kód (Új kép generálása a megerősítési kódról)

A BBCode egy egyszerű jelölő nyelv, amellyel a hozzászólásokat lehet formázni. Érvényes parancsok:

bold: [b]Maecenas at nisl.[/b]
italics: [i]Maecenas at nisl.[/i]
underline: [u]Maecenas at nisl.[/u]
url: [url]http://www.mysite.com[/url], [url=http://www.mysite.com]Maecenas at nisl.[/url]
image: [img]http://www.mysite.com/mypic.png[/img]
quote: [quote]Maecenas at nisl.[/quote]
code: [code]Maecenas at nisl.[/code]
size: [size=12]Maecenas at nisl.[/size]
color: [color=#FF0000]Maecenas at nisl.[/color]

Hozzászólok!





© International PET Portal, 2010 | Impresszum | Felhasználási feltételek | Adatvédelmi Nyilatkozat