Безопасно встроить javascript на форум?

0

1

Много лет уже JS-вставки в сообщениях форума тупо блокируются. Но иногда встречаются попытки вставить через них embeded.

И вот, подумалось тут — а нельзя ли придумать вариант безопасной вставки JS? Основная проблема, понятное дело, утечка кук с хешем-идентификатором.

А что, если вставить такой JS в iframe на левом домене? Правда, домен второго уровня на такое баловство жалко, а из домена третьего уровня можно получить куки домена второго. Плюс гвоздями придётся прибивать размер.

Можно ли как-то ещё этот вопрос решить, никто не задумывался?

Ссылка

←	wordpress/joomla/без cms

Centos + php + httpd + mysql + radius = веб авторизация для доступа в интернет

→

самый главный вопрос - а надо ли? есть реальный use-case?

dib2 ★★★★★
(23.03.14 20:23:04 UTC)

Ответ на: комментарий от dib2 23.03.14 20:23:04 UTC

Если есть нормальное решение — почему бы не реализовать? :) Случаи использования пользователями единичные, конечно (за год), но лишняя возможность форума лишней не будет :)

~~KRoN73~~ ★★★★★
(23.03.14 20:31:56 UTC) автор топика

Ссылка

пока делается eval для приема AJAX-ответов по JSON - все защиты можно легко, в общем-то... Основная идея: не делать eval.

Или ты про блокировку javascript в браузерах?

Вместо левого домена использовать доверенный фильтрующий узел, отдавая уже потребителю рафинированный контент...

swwwfactory ★★
(23.03.14 22:57:18 UTC)

Ответ на: комментарий от swwwfactory 23.03.14 22:57:18 UTC

Вместо левого домена использовать доверенный фильтрующий узел, отдавая уже потребителю рафинированный контент...

Нет. Задача именно разрешить пользователю получать JavaScript, размещённый другими пользователями.

~~KRoN73~~ ★★★★★
(23.03.14 23:23:38 UTC) автор топика

Ответ на: комментарий от KRoN73 23.03.14 23:23:38 UTC

Нет. Задача именно разрешить пользователю получать JavaScript, размещённый другими пользователями.

есть песочницы для этого. Когда то была статья от или про микрософт, про реализацию такой песочницы ...

Что-то вроде этого: http://habrahabr.ru/post/116898/ ,но может устарело

swwwfactory ★★
(23.03.14 23:57:13 UTC)
Последнее исправление: swwwfactory 23.03.14 23:57:26 UTC (всего исправлений: 1)

Ссылка

Основная проблема, понятное дело, утечка кук с хешем-идентификатором.

alert("анонимус одобряэ")

anonymous
(24.03.14 00:32:07 UTC)

Ссылка

Можно. Куки бывают подписанные, бывают зашифрованные(https), и тупо http куки. Они не доступны js. Т.ч. никаких утечек не будет при грамотном подходе. Но нафига обмениваться кодом, при этом не контролируя его? Можно его, конечно, пропускать через санитайзер/антивирь эдакий, но нужно ли это? Доверять нельзя никаким данным извне системы. Так тебе могут прислать что угодно вместо js.

menangen ★★★★★
(24.03.14 02:28:15 UTC)

Ссылка

Тебе очень будет приятно, если зайдешь в какой-нибудь тред, а там добрый человек вставил iframe с <audio> какого-нибудь бибера на автоплей? :)

В целом, идея сэндбоксить чужой код в iframe вполне жизнеспособна, но обычно при этом в принудительном порядке происходит премодерация QA-командой содержания этого iframe.

noomorph ★
(24.03.14 04:19:55 UTC)

Ссылка

for(;;); ага. Лучше даже и не пытайся.

anonymous
(24.03.14 06:50:20 UTC)

Ссылка

А что, если вставить такой JS в iframe на левом домене?

Можно. Но он не будет иметь доступа к родительской странице, смысл в таком скрипте. И кроме кук можно другие гадости делать, например редирект на другой сайт или фейковую страницу авторизации.

goingUp ★★★★★
(25.03.14 02:00:20 UTC)

Похоже, что ты даже не представляешь какие мерзости можно делать с обычным js, даже без embeded. От мелкого баловства, типа замены всех запятых на странице на ", бл*," до вполне себе неплохого ddos'а на сторонние сайты. Добавь к этому еще и обфускатор и хрен ты поймешь какая страница на твоем форуме тебе гадит. А если у тебя еще используется Ajax, то сожранный трафик, dos и пр. прелести будут ждать и твой сервак.

soomrack ★★★★★
(25.03.14 06:23:57 UTC)

Ответ на: комментарий от goingUp 25.03.14 02:00:20 UTC

Можно. Но он не будет иметь доступа к родительской странице

Это понятно, это и требуется.

И кроме кук можно другие гадости делать, например редирект на другой сайт или фейковую страницу авторизации.

А редирект, развен, не для фрейма сработает, а для всей страницы?

~~KRoN73~~ ★★★★★
(25.03.14 07:11:09 UTC) автор топика

Ответ на: комментарий от soomrack 25.03.14 06:23:57 UTC

От мелкого баловства, типа замены всех запятых на странице

Из iframe?

до вполне себе неплохого ddos'а на сторонние сайты

Это не так страшно. Вставки подобные единичны, активного посещения не будет, сразу после закрытия страницы всякий «DDoS» отвалится.

Пока реальная проблема, как я понимаю, только куки домена верхнего уровня.

~~KRoN73~~ ★★★★★
(25.03.14 07:13:15 UTC) автор топика

Ответ на: комментарий от KRoN73 25.03.14 07:13:15 UTC

до вполне себе неплохого ddos'а на сторонние сайты

Это не так страшно. Вставки подобные единичны, активного посещения не будет, сразу после закрытия страницы всякий «DDoS» отвалится.

Да? Посмотри на свою суточную посещаемость и длительность сессий (которые вырастут из-за долгой загрузки страницы) и прикинь сколько нужно для небольшого ддоса: http://roem.ru/2014/03/18/ddos94739/

А санкций со стороны поисковиков и антивирусов не боишься? Попадет ресурс в черные списки...

+ Не забывай, что порой достаточно и одного посещения, распространение вирусов и спайваре идет через специально подготовленные страницы открываемые в ифреймах на выкупленных рекламыных площадках.

soomrack ★★★★★
(25.03.14 07:21:31 UTC)

Ответ на: комментарий от soomrack 25.03.14 07:21:31 UTC

А санкций со стороны поисковиков и антивирусов не боишься?

Можно отдавать такой контент только зарегистрированным пользователям :)

Итак постоянно приходится это делать в свете гугловых заморочек последнего времени.

~~KRoN73~~ ★★★★★
(25.03.14 07:28:30 UTC) автор топика