Поисковая форма:) поиск по free-lance.ru Топ/история/обновления фриланса, по разным параметрам (темы, сообщения, пользователи...) Автоматическое удаление постов от ненужных юзеров в топике (php скрипт) Досье(точный ник)
 

Ник (или часть ника):
? 		Какой текст ищем:
? 		Раздел блогов:
 За срок
дней		 Тип поиска: (по вхождению: по тексту гуг выдаст посты с "гуг", "гугл", "огугл"; "полнотекстовый": по тексту "гуг" выдаст посты только с "гуг")
По вхождению строки:  Полнотекстовый: 
(поиск не 100% актуальный, есть определённая задержка при обновлении данных для поиска. )
0 Всего найдено: 15
devilmaycry Сообщение 07/02/2009 16:44 Копия темы
.
>куки каких сайтов будут ей доступны?
Будут доступны куки того сайта, с которого она загружена (не знаю как для флэшки, но для JS и PHP именно так)

>куда флэшка не включая паранойю у юзера может отправлять post/get запросы?
Куда угодно.

hardcoder Сообщение 07/02/2009 16:49 Копия темы
.
Интересно, а когда она отправит запрос на site3 (левый)
броузер добавит куки сайта3 к запросу?

devilmaycry Сообщение 07/02/2009 16:56 Копия темы
.
>Абсолютно уверены? Т.е. куки 2 и 3 будут не доступны, а 1 доступны?
Ну думаю да, ход логики хаццкера: получаем куки от сайта free-lance.ru, загрузив флэшку с сайта site1.ru, посылаем их гет\пост запросом на хандлер на любой сайт =)

MagicEgg Сообщение 07/02/2009 16:56 Копия темы
.
если я всё верно помню, в корень домена, где запускаете скрипт, положите файл примерно следующего содержания:
prj.magic-egg.net/crossdo..

он разрешает флешу дергать данные с других доменов
у меня по крайней мере работает

если заказчик настаивает на выкладывании флешки на его домен, я оставляю CMS у себя и флешка конектится к моему домену без проблем

hardcoder Сообщение 07/02/2009 16:58 Копия темы
.
Грубо говоря, любая левая флэшка может зайти залогинившись на мой фриланс аккаунт,
если я поставил галку "запомнить меня"... Хм... Интересно.

devilmaycry Сообщение 07/02/2009 17:04 Копия темы
.
Чтобы получить куки, скрипт должен загружаться с того сайта, с которого хотим получить куки и никак иначе, ибо тогда уже все пароли разворовали в момент.

l--_--_--l Сообщение 07/02/2009 17:06 Копия темы
.
По политике безопасности одного источника (same origin policy), в JavaScript запрещен кросс-доменный доступ.
Это касается XMLHttpRequest и iframe. В случае iframe вы можете загрузить страницу с другого домена (с GET/POST параметрами), но обратиться к ней и получить её параметры/содержание не получится. XHR сразу выдаст ошибку, при попытке вызова open() с доменом в адресе, отличным от текущего.

От этого избавлен только тег script, который может выполнять JavaScript код с любого домена. С помощью этого тега можно организовать кросс-доменную передачу данных, динамически подключая в DOM элемент с нужным адресом, но передавать можно только GET-параметры и получать назад только верный JavaScript.

На счет flash не уверен (давно не интересовался его развитием), но раньше политика передачи данных между разными доменами была ограничена.
Думаю, что эта статья может ответить на ваши вопросы: www.adobe.com/devnet/flas..

hardcoder Сообщение 07/02/2009 17:07 Копия темы
.
Ясно.

l--_--_--l Сообщение 07/02/2009 17:14 Копия темы
.
Еще добавлю, что согласно устройству бразуера, независимо от того, что именно порождает запрос (флешка, или script, или еще что-нибудь), будут отправлены cookies того домена, на который идет запрос. Буквально, при запросе с test2.ru на test1.ru в заголовки будут добавлены сохраненные cookies test1.ru. Тем не менее, "прозрачно" доступны cookies test1.ru на странице test2.ru – не должны.

l--_--_--l Сообщение 07/02/2009 17:17 Копия темы
.
> С post ? можно пример пожалуйста.
Динамически создается форма, атрибуту target которой предписывается созданный нами iframe, а action – адрес с другого домена. После выполнения метода submit() форма отправит POST-запрос в наш iframe, загрузив "чужой" сайт. Но из нашего документа к содержанию этого фрейма не будет доступа, т.е. все значения будут undefined.

> Можете уточнить ситуацию с site1.ru и site2.ru ?
Я отписал чуть ниже, как будут работать cookies в этом случае. А разрешенный домен не относится к script, потому что такой метод передачи данных не подчиняется политике same origin.

MagicEgg Сообщение 07/02/2009 17:20 Копия темы
.
для флеша
в 7,8,9 работало

вообще там есть такой класс LocalConnection, она в том числе занимается безопасностью этой

есть смысл посмотреть что на flasher.ru народ спрашивает и отвечает по ключевому слову «домен» и «безопасность», например

поиск в темах ActionScript 3 или ActionScript 1,2

есть ещё способ как обойти проверку crossdomain.xml, если нет доступа к серверу откуда данные идут
надо делать простенький шлюз на php на своем сервере для перенаправления запросов, он будет просто транслировать данные через себя
там что то около 10 строк кода

MagicEgg Сообщение 07/02/2009 17:22 Копия темы
.
ещё в 8 версии флешу стало важно, с какого поддомена идёт отправка
т.е. например www.site.ru и site.ru для него — разные домены!

так что я делаю во флеше проверку, откуда флешка загрузилась через LocalConnection
и уже с этого домена тяну данные

l--_--_--l Сообщение 07/02/2009 17:30 Копия темы
.
> Вопрос именно в том, будут ли клиентскому скрипту доступны куки того сайта, где лежит яваскрипт.
Нет, иначе это было бы очень большой уязвимостью.

> У нас браузер явно спросил хотим ли мы послать форму, предупредив что страница хочет это сделать. Это обходится или нет?
Какой браузер? Настройки безопасности стандартные? Вообще, такого предупреждения, по-умолчанию, быть не должно.

l--_--_--l Сообщение 07/02/2009 17:52 Копия темы
.
> Не уверены. Ведь яваскрипт-то на том сайте, откуда он берется, просто так не возьмется. А уж если его туда загрузили, то защищать после этого куки?
Если приводить пример, то допустим, что на сайте фри-ланс.ру есть скрипт, который генерируется сервером на основе cookies.
Допустим, что результат этого скрипта будет такой:
var username = "<имя_пользователя_на_free-lance.ru>";
Где имя пользователя берется из базы на основе полученных cookies (или id сессии в куках).

Если я со своего сайта подключу этот скрипт, а посетитель будет авторизирован на free-lance.ru с включенными cookies, то при запросе с моего сайта, я получу результат этого скрипта точно так же, как если бы пользователь его открыл напрямую (введя адрес в адресной строке), или скрипт был подключен на самом free-lance.ru. Другими словами, переменная username будет доступна на моем сайте с именем пользователя на сайте free-lance.ru, так как сервер получит сохраненные (для free-lance.ru) куки. Тем не менее, я не могу из своего скрипта прочесть отправленные куки, в то время как сервер их получает вместе с запросом.

l--_--_--l Сообщение 07/02/2009 19:04 Копия темы
.
Я этот пример привел к тому, что на моем сайте cookies сайта free-lance.ru не будут доступны, однако когда я запрашиваю скрипт с сайта free-lance.ru – куки отправляются вместе с запросом и сервер их получает.

0
©2008 edogs egods
Выразить восторг, поругаться
или предложить что-нибудь можно на форуме 		Для обсуждения этого сервиса так же есть темы на фрилансе по
поиску , флудотопу ,и по удалённым сообщениям ,и по Актуальным/популярным темам , и по топу "кто кому больше наотвечал"