- Nem tiltották be a Teslát Kaliforniában, Robotaxival ünnepelt a márka
- Apró változásokkal, elődjénél jobb áron kezd a Google Pixel 10a
- Visszatért a Snapdragonhoz az Infinix, itt a Note 60 és Note 60 Pro
- Esélyes, hogy drágul a Nothing Phone (4a) széria
- Lelkiismeret-furdalás nélkül zabálhatod a süteményt a Galaxy S26-tal
- Samsung Galaxy Watch8 és Watch8 Classic – lelkes hiperaktivitás
- Mobil flották
- Garmin Instinct – küldetés teljesítve
- Realme GT Master Edition - mestermunka
- Fotók, videók mobillal
- Samsung Galaxy S25 Ultra - titán keret, acélos teljesítmény
- Apró változásokkal, elődjénél jobb áron kezd a Google Pixel 10a
- Soundcore Sleep A30 - a hosszú házasság titka
- Asus Zenfone 10 - kicsit más az új kicsi
- Szinte csak formaság: bemutatkozott a Pixel 6 és Pixel 6 Pro
Új hozzászólás Aktív témák
-
válasz
supercow
#17073
üzenetére
Jó az oldal, amit linkeltél (bár több, mint két éves a cikk) - de továbbra is kitartok amellett, hogy a böngésző a leggyengébb szem a védelmi láncban. Amennyiben böngésző dekódol az egyetlen helyben tárolt kulccsal - itt az egyetlen probléma maga a böngésző - egyszerűen nincs lehetőség megfelelően "elzárni" a kulcsot, amit a kliens oldali kód használ.
Kicsit végiggondolva, akövetkezők használhatók a kulcs átadására (szerver és kliens oldal között):
1. Cookie, form fields, header fields - mindegyikkel az a gond, hogy bármelyik JS elérheti, amelyik be tud töltődni az oldal scope-ja alatt...
2. Javascript (non-global) hardcoded privát változó/konstans - ezzel az a gond, hogy cache-elődik a gépre és utólag kibányászható...
3. XHTTP Request http-only cookie-val, válasz (master password, titkosított jelszó adatbázis) privát változókba tárolva - ez talán legkevésbé kockázatos megoldás, így nem kell hardcode-olni a master hash-t és a jelszó adatbázist. az alábbi triviális támadási módok vannak ellene:
- Másik JS is tud egy XHTTP kérést küldeni és neki is elküldi a szerver a master hash-t/ jelszó adatbázist. Illetve másik JS is el tudja érni a privát változóink publikus interfészét, tudja hívogatni a metódusokat...
Digitálisan aláírt JS kikényszerítésével lehet esetleg védekezni ezek ellen.
- Böngésző JS debuggerén keresztül hozzá lehet férni a változókhoz (egyes beépülő modulok ezt is tudják kontrollálni)
Új hozzászólás Aktív témák
- Visszafogott, vékony és vezetékmentes ProArt billentyűzet jött az ASUS-tól
- 3D nyomtatás
- Zenless Zone Zero (ZZZ)
- Linux felhasználók OFF topikja
- Otthoni hálózat és internet megosztás
- Milyen asztali (teljes vagy fél-) gépet vegyek?
- NIOH 3
- Máris elfogytak az idei évre szánt HDD-k a Western Digitalnál
- Elektromos cigaretta 🔞
- Samsung Galaxy Watch8 és Watch8 Classic – lelkes hiperaktivitás
- További aktív témák...
- ÉV ELEJI RAKTÁRSÖPRÉS!!! - Videókártyák, Monitorok, Notebookok, Stb. - Szaküzletből! Számlával!
- G.Skill Aegis 32GB (2 16GB) DDR4 3200MHz ÚJ, AZONNAL KÉSZLETRŐL
- Keresünk iPhone 13/13 Mini/13 Pro/13 Pro Max
- GYÖNYÖRŰ iPhone 12 128GB Blue -1 ÉV GARANCIA - Kártyafüggetlen, MS4540, 100% AKKSI
- Általános igazgatóhelyettes tábla üvegből eladó
Állásajánlatok
Cég: Laptopműhely Bt.
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest