Hlavní navigace

Názor k článku Firefox 23 zvyšuje bezpečnost, Firefox 24 má zkrotit plug-iny od mc - Ano, pokud aplikace tahá script přes http tak...

  • Článek je starý, nové názory již nelze přidávat.
  • 12. 8. 2013 13:27

    mc (neregistrovaný)

    Ano, pokud aplikace tahá script přes http tak k jeho změně prostřednictvím MITM může dojít a ten script může dělat neplechu a může tak dojít k prozrazení dat co prozrazena být neměla - tomu rozumím. Ovšem to je problém tvůrce aplikace, že dělá takovou chybu.

    Já ovšem netahám přes http nějaký script, který pak na klientské straně něco vykonává, ale data (v JSON či XML). Ano, jejich změna prostřednictvím MITM může vést k chybným závěrům. Ovšem ty data jsou tahána z veřejného zdroje a je nutné na ně pohlížet s rezervou (a to i bez ohledu na http a tedy i možnost MITM). Pokud tedy na uvedená data pohlížím s jistou skepsí, kde je problém? Může mi copak útočník při MITM, kdy provede změnu dat v JSON či XML způsobit nějaké problémy? Samozřejmě aplikace si nesmí dovolit například takto přijatá data interpretovat jako programový kód.

    Navíc řešením restrikcí na straně prohlížeče je proxy na straně mateřského serveru. Tedy uvedená restrikce provedla hlavně komplikaci pro programátora aplikace. Veřejná data tak musí natáhnout místo klienta napřed server a to přes nezabezpečené http (kde hrozí MITM) a pak je poslat klientovy. Kde je tedy přínos v bezpečnosti? NIKDE!