Názor k článku Jak zobrazit banner na zabezpečené stránce od Dan Ohnesorg - Nehodnotim, jestli je kod funkcni nebo nebo a...

Nehodnotim, jestli je kod funkcni nebo nebo a bezpecny nebo ne, ale principielne je to uplne spatne.

Vzdy, kdyz povolim, abych mel ve strance objekt dodany treti stranou, tak snizuji bezpecnost meho webu a ohrozuji uzivatele. Tato situace se dramaticky zhorsi, jakmile tohle ucinim ve strance, ktera je zabezpecena pres SSL a pokud cizi kod vystavuji jakoby z me adresy. Uzivatel si muze napr. nastavit muj server do dyveryhodne zony, a ja zpusobim, ze cizi kod, ktery odesilam je vyhodnocen v kontextu me stranky a tim i bezpecnostni zony, ktera je mi prirazena.

Pokud navic kod ziskavam po nezabezpecenem spojeni, tak riskuji, ze nekdo presmeruje DNS a ja kod nactu odjinud (protoze spojeni nebezi pres SSL, tak nemohu overit certifikat serveru, abych poznal jeho zamenu). A to nemluvim o moznosti uspesneho napadeni primo reklamniho systemu.

Pokud uzivatel klikne na ten banner, tak buh vi co si odnese na dalsi stranku, vzhledem k ruznych vadam v prohlizecich. V lepsim pripade nic, v horsim referrer obsahujici nejake cookie a v tom nejhorsim si zadavatel banneru precte kde co. Ne nadarmo se rika, ze po ukonceni prace se zabezpecenymi vecmi se ma prohlizec ukoncit a znovu spustit, chcete-li pokracovat jinde.

Podle me proste do SSL stranek patri reklama jedine vlastni. Propagovat neco jineho je nebezpecne, protoze si nekdo muze rict, je to se mi libi a pritom nedokaze poznat vsechny dusledky.