Mozilla léčí Web 2.0 pomocí CSP (diskuse)

Nechápu, jak může být XSS (což je primárně problém webové aplikace na serveru) principelně vyléčeno jakoukoliv vlastností browseru (natožpak jednoho z mnoha).

In Ada the typical infinite loop would normally be terminated by detonation.

5.10.2009 17:51 vlastikroot | skóre: 24 | blog: vlastikovo | Milevsko
Rozbalit Rozbalit vše Re: Mozilla léčí Web 2.0 pomocí CSP

Je to leceni bolesti, ne nemoci. Ale da se tim mozna predejit problemum s ruznych chyb, a ty opravit az nasledne.

We will destroys the Christian's legion ... and the cross, will be inverted

5.10.2009 17:56 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Mozilla léčí Web 2.0 pomocí CSP

Fakt nechápu, jak, protože útočník si sotva vybere prohlížeč, který mu brání útočit :-)

nemysleli tím spíš CSRF?

In Ada the typical infinite loop would normally be terminated by detonation.

5.10.2009 18:01 vlastikroot | skóre: 24 | blog: vlastikovo | Milevsko
Rozbalit Rozbalit vše Re: Mozilla léčí Web 2.0 pomocí CSP

No tak ze kdyz dostanou na server nejake to perzistentni XSS, tak uzivatele firefoxu budou chraneni treba proti ukradeni session cookie nebo nejake jine vhodne akci (treba i to CSRF). O samotny utok nejde, jde o riziko pro uzivatele.

We will destroys the Christian's legion ... and the cross, will be inverted