Смешное о безопасности

Sep. 23rd, 2009 04:44 pm
amosk: (Surprised by puck)
Исходники (серверная часть скриптов) многих крупных интернет-сайтов (Яндекс, и т.п., более 3000 сайтов) оказались доступны через служебные папки системы контроля версий по недосмотру не закрытые от доступа через HTTP.

http://habrahabr.ru/blogs/infosecurity/70330/
Tags:
  • Add Memory
  • Share This Entry

HttpOnly

Aug. 29th, 2008 01:23 pm
amosk: (Default)
В протоколе HTTP куки можно помечать атрибутом HttpOnly.
Это позволяет в современных браузерах запретить доступ к куку из javascript.
Таким образом можно бороться с XSS атакой, когда один из юзеров сайта может получить кук сеанса другого юзера (через document.cookie) и завладеть его учетной записью.
Пока в полном обхеме это работает только в IE7. 
В Firefox3 доступ к document.cookie блокируется, однако остается способ через вспомогательный запрос с использованием XMLHttpObject.
Tags:
  • Add Memory
  • Share This Entry

Profile

amosk: (Default)
amosk

December 2016

S M T W T F S
    123
45678910
11121314151617
18192021222324
252627 28293031

Syndicate

RSS Atom

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Jul. 20th, 2025 09:21 am
Powered by Dreamwidth Studios