Új hozzászólás Aktív témák

• #957 Male nagyúr Sk8erPeter #956

  Új Válasz 2012-06-29 11:48:57 #957

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Male

  nagyúr

  válasz Sk8erPeter #956 üzenetére

  Session alapon ez így működik jsonp-vel? Na ezt még kipróbálom amint lesz rá időm

  Feltörés: A oldal szolgáltat JSONP-vel B-nek loginhoz kötött infókat is. B-t feltörik, és az eddigi login ablakuk, ami A-nak küldte a bejelentkezési adatokat, lecserélik, és C-nek (is) továbbítja... így megszerzik a login adatait egy csomó felhasználónak, főleg ha látszólag továbbra is működik. Én pedig, mint az A oldalt üzemeltető ember erről nem is szerzek tudomást, hiszen az én rendszeremben nem történt semmi, de közben hozzám, A-hoz szereznek hozzáféréseket. (Ha csak simán feltörik B-t, azzal nem jutnak hozzá az adatokhoz, hiszen ott nem tárolódik semmi, az A szolgáltatja azokat, nála vannak). Ha viszont A csak publikus adatokat szolgáltat B-nek, a loginhez kötöttekért már át kell menni A-ra, és ott bejelentkezni, akkor B feltörésén keresztül nem lehet megszerezni semmit. (Na jó, kirakhatnak akkor is egy logint, de itt nagyobb az esély a lebukásra.)

  (Nyilván ha A-t törik fel, akkor mindegy az egész, csak arról legalább van esélyem tudomást szerezni, míg B feltöréséről nincs igazán.)

Új hozzászólás Aktív témák