Nehodnotim, jestli je kod funkcni nebo nebo a bezpecny nebo ne, ale principielne je to uplne spatne.
Vzdy, kdyz povolim, abych mel ve strance objekt dodany treti stranou, tak snizuji bezpecnost meho webu a ohrozuji uzivatele. Tato situace se dramaticky zhorsi, jakmile tohle ucinim ve strance, ktera je zabezpecena pres SSL a pokud cizi kod vystavuji jakoby z me adresy. Uzivatel si muze napr. nastavit muj server do dyveryhodne zony, a ja zpusobim, ze cizi kod, ktery odesilam je vyhodnocen v kontextu me stranky a tim i bezpecnostni zony, ktera je mi prirazena.
Pokud navic kod ziskavam po nezabezpecenem spojeni, tak riskuji, ze nekdo presmeruje DNS a ja kod nactu odjinud (protoze spojeni nebezi pres SSL, tak nemohu overit certifikat serveru, abych poznal jeho zamenu). A to nemluvim o moznosti uspesneho napadeni primo reklamniho systemu.
Pokud uzivatel klikne na ten banner, tak buh vi co si odnese na dalsi stranku, vzhledem k ruznych vadam v prohlizecich. V lepsim pripade nic, v horsim referrer obsahujici nejake cookie a v tom nejhorsim si zadavatel banneru precte kde co. Ne nadarmo se rika, ze po ukonceni prace se zabezpecenymi vecmi se ma prohlizec ukoncit a znovu spustit, chcete-li pokracovat jinde.
Podle me proste do SSL stranek patri reklama jedine vlastni. Propagovat neco jineho je nebezpecne, protoze si nekdo muze rict, je to se mi libi a pritom nedokaze poznat vsechny dusledky.
Děkuji za příspěvek, na stejné téma se zamýšlím i v závěru článku a nabádám k použití postupu jen v situaci, kdy ke zmatení uživatele dojít nemůže (což by se snadno stalo např. pokud bych místo obrázku přenášel JavaScript).
Varování ohledně situace po kliknutí už tak výstižné není, konkrétně výrok "v horším případě si na další stránku odnese referrer obsahující nějaké cookie" je zcela zavádějící, protože cookie se v refereru samozřejmě nepřenáší a navíc ve skriptu mohu přesně nastavit, co se přenášet bude a co ne.
Věřím, že kdo se do aplikace postupu pustí, tak nějaké základní povědomí o bezpečnosti má a možné důsledky si uvědomí. Nehledě na to, že na rizika článek upozorňuje.
OK, mate pravdu, to co si uzivatel pres referrer odnese neni cookie, ale rekneme session id. Zkratil jsem to, protoze beru za obvykle, ze u uzivatelu, kterym se nepodari zaslat cookie se to co by bylo jeho obsahem pridava do URL, aby se dala resit bezstavovost HTTP protokolu.
I tak ale platí, že je čistě na mě, co reklamnímu serveru předám a co ne. Pokud si v URL udržuji session ID, zamozřejmě ho reklamnímu serveru nebudu přeposílat.
Absolutne s Vami souhlasim, uvedeny postup je z hlediska bezpecnosti principialne zcestny a je poprenim filosofie duveryhodneho zdroje.
Certifikaci obsahu mimo moji kontrolu si zahravam s ohnem a cinim-li tak z pohnutek mrzce nizkych, jako je zabranit varovani uzivatele kvuli reklame, je me pocinani zavrzenihodne. Mym trestem bude drive ci pozdeji mnou overene a podepsane zoofilni porno nebo neco jineho. Halelujah...
Proc tam to varovani o nezabezpecenych objektech asi tak je? :-o
ČLÁNKY DO MAILU