История изменений
Исправление KivApple, (текущая версия) :
Потому что смотри:
1) Допустим, в моей локалке есть некий сервис, недоступный из-вне. На нём лежат супер-секретные данные. Но я не беспокоюсь - ведь он доступен только из локалки. Я захожу на сайт Васи Пупкина, который содержит скрипт, который обратится по адресу из локалки, скачает все секретные данные, а затем отправит на сервер. PROFIT.
2) Допустим, я залогинен на сайте X. Я захожу на вредоносный сайт Y. Он содержит в себе маааленький iframe, который я не замечу (он скрыт, находится за пределами экрана, имеет размер 1х1 пиксель - что угодно), в котором прогружается сайт X. Разумеется, при этом сайту X отправляются все нужные куки и во фрейме авторизация также будет. А затем с помощью JavaScript и DOM-операциями, владелец сайта Y сможет сделать от моего лица что угодно на сайте X. Если это форум/соцсеть - запостить от моего имени спам, если это админка сайта, то совершить дефейс и т. д. и т. п. То же самое касается и AJAX-запросов - при их выполнении сервер получит все необходимые куки для данного домена. А значит скрипт, который может послать AJAX-запрос, может сделать что угодно (в рамках того, что позволяет AJAX API сайта X) от имени пользователя на сайте X, хотя сам находится на сайте Y.
Скажешь, что ты неуловимый Джо? Есть набор сайтов вроде гугла, мейлрушечки, вконтактика и т. п. 90% пользователей непрерывно залогинены хоть на одном из них. А между тем угон аккаунтов на них может принести профит. Соответственно, сайту злоумышленника (или же хакер может взломать и заразить вполне мирный сайт) есть смысл разместить код, проверяющий авторизацию популярных сервисов и атакующий, если она есть. А вот браузер с защитой от XSS так сделать ему не даст.
Исправление KivApple, :
Потому что смотри:
1) Допустим, в моей локалке есть некий сервис, недоступный из-вне. На нём лежат супер-секретные данные. Но я не беспокоюсь - ведь он доступен только из локалки. Я захожу на сайт Васи Пупкина, который содержит скрипт, который обратится по адресу из локалки, скачает все секретные данные, а затем отправит на сервер. PROFIT.
2) Допустим, я залогинен на сайте X. Я захожу на вредоносный сайт Y. Он содержит в себе маааленький iframe, который я не замечу (он скрыт, находится за пределами экрана, имеет размер 1х1 пиксель - что угодно), в котором прогружается сайт X. Разумеется, при этом сайту X отправляются все нужные куки и во фрейме авторизация также будет. А затем с помощью JavaScript и DOM-операциями, владелец сайта Y сможет сделать от моего лица что угодно на сайте X. Если это форум/соцсеть - запостить от моего имени спам, если это админка сайта, то совершить дефейс и т. д. и т. п. То же самое касается и AJAX-запросов - при их выполнении сервер получит все необходимые куки для данного домена. А значит скрипт, который может послать AJAX-запрос, может сделать что угодно (в рамках того, что позволяет AJAX API) от имени пользователя на сайте X, хотя сам находится на сайте Y.
Скажешь, что ты неуловимый Джо? Есть набор сайтов вроде гугла, мейлрушечки, вконтактика и т. п. 90% пользователей непрерывно залогинены хоть на одном из них. А между тем угон аккаунтов на них может принести профит. Соответственно, сайту злоумышленника (или же хакер может взломать и заразить вполне мирный сайт) есть смысл разместить код, проверяющий авторизацию популярных сервисов и атакующий, если она есть. А вот браузер с защитой от XSS так сделать ему не даст.
Исправление KivApple, :
Потому что смотри:
1) Допустим, в моей локалке есть некий сервис, недоступный из-вне. На нём лежат супер-секретные данные. Но я не беспокоюсь - ведь он доступен только из локалки. Я захожу на сайт Васи Пупкина, который содержит скрипт, который обратится по адресу из локалки, скачает все секретные данные, а затем отправит на сервер. PROFIT.
2) Допустим, я залогинен на сайте X. Я захожу на вредоносный сайт Y. Он содержит в себе маааленький iframe, который я не замечу (он скрыт, находится за пределами экрана, имеет размер 1х1 пиксель - что угодно), в котором прогружается сайт X. Разумеется, при этом сайту X отправляются все нужные куки и во фрейме авторизация также будет. А затем с помощью JavaScript и DOM-операциями, владелец сайта Y сможет сделать от моего лица что угодно на сайте X. Если это форум/соцсеть - запостить от моего имени спам, если это админка сайта, то совершить дефейс и т. д. и т. п. То же самое касается и AJAX-запросов - при их выполнении сервер получит все необходимые куки для данного домена. А значит скрипт, который может послать AJAX-запрос, может сделать что угодно от имени пользователя на сайте X, хотя сам находится на сайте Y.
Скажешь, что ты неуловимый Джо? Есть набор сайтов вроде гугла, мейлрушечки, вконтактика и т. п. 90% пользователей непрерывно залогинены хоть на одном из них. А между тем угон аккаунтов на них может принести профит. Соответственно, сайту злоумышленника (или же хакер может взломать и заразить вполне мирный сайт) есть смысл разместить код, проверяющий авторизацию популярных сервисов и атакующий, если она есть. А вот браузер с защитой от XSS так сделать ему не даст.
Исправление KivApple, :
Потому что смотри:
1) Допустим, в моей локалке есть некий сервис, недоступный из-вне. На нём лежат супер-секретные данные. Но я не беспокоюсь - ведь он доступен только из локалки. Я захожу на сайт Васи Пупкина, который содержит скрипт, который обратится по адресу из локалки, скачает все секретные данные, а затем отправит на сервер. PROFIT.
2) Допустим, я залогинен на сайте X. Я захожу на вредоносный сайт Y. Он содержит в себе маааленький iframe, который я не замечу (он скрыт, находится за пределами экрана, имеет размер 1х1 пиксель - что угодно), в котором прогружается сайт X. Разумеется, при этом сайту X отправляются все нужные куки и во фрейме авторизация также будет. А затем с помощью JavaScript и DOM-операциями, владелец сайта Y сможет сделать от моего лица что угодно на сайте X. Если это форум/соцсеть - запостить от моего имени спам, если это админка сайта, то совершить девейс и т. д. и т. п. То же самое касается и AJAX-запросов - при их выполнении сервер получит все необходимые куки для данного домена. А значит скрипт, который может послать AJAX-запрос, может сделать что угодно от имени пользователя на сайте X, хотя сам находится на сайте Y.
Скажешь, что ты неуловимый Джо? Есть набор сайтов вроде гугла, мейлрушечки, вконтактика и т. п. 90% пользователей непрерывно залогинены хоть на одном из них. А между тем угон аккаунтов на них может принести профит. Соответственно, сайту злоумышленника (или же хакер может взломать и заразить вполне мирный сайт) есть смысл разместить код, проверяющий авторизацию популярных сервисов и атакующий, если она есть. А вот браузер с защитой от XSS так сделать ему не даст.
Исправление KivApple, :
Потому что смотри:
1) Допустим, в моей локалке есть некий сервис, недоступный из-вне. На нём лежат супер-секретные данные. Но я не беспокоюсь - ведь он доступен только из локалки. Я захожу на сайт Васи Пупкина, который содержит скрипт, который обратится по адресу из локалки, скачает все секретные данные, а затем отправит на сервер. PROFIT.
2) Допустим, я залогинен на сайте X. Я захожу на вредоносный сайт Y. Он содержит в себе маааленький iframe, который я не замечу (он скрыт, находится за пределами экрана, имеет размер 1х1 пиксель - что угодно), в котором прогружается сайт X. Разумеется, при этом сайту X отправляются все нужные куки и во фрейме авторизация также будет. А затем с помощью JavaScript и DOM-операциями, владелец сайта Y сможет сделать от моего лица что угодно на сайте X. Если это форум/соцсеть - запостить от моего имени спам, если это админка сайта, то совершить девейс и т. д. и т. п. То же самое касается и AJAX-запросов - при их выполнении сервер получит все необходимые куки для данного домена. А значит скрипт, который может послать AJAX-запрос, может сделать что угодно от имени пользователя на сайте X, хотя сам находится на сайте Y.
Скажешь, что ты неуловимый Джо? Есть набор сайтов вроде гугла, мейлрушечки, вконтактика и т. п. 90% пользователей непрерывно залогинены хоть на одном из них. А между тем угон аккаунтов на них может принести профит. Соответственно, сайту злоумышленника есть смысл разместить код, проверяющий авторизацию популярных сервисов и атакующий, если она есть. А вот браузер с защитой от XSS так сделать ему не даст.
Исправление KivApple, :
Потому что смотри:
1) Допустим, в моей локалке есть некий сервис, недоступный из-вне. На нём лежат супер-секретные данные. Но я не беспокоюсь - ведь он доступен только из локалки. Я захожу на сайт Васи Пупкина, который содержит скрипт, который обратится по адресу из локалки, скачает все секретные данные, а затем отправит на сервер. PROFIT.
2) Допустим, я залогинен на сайте X. Я захожу на вредоносный сайт Y. Он содержит в себе маааленький iframe, который я не замечу (он скрыт, находится за пределами экрана, имеет размер 1х1 пиксель - что угодно), в котором прогружается сайт X. Разумеется, при этом сайту X отправляются все нужные куки и во фрейме авторизация также будет. А затем с помощью JavaScript и DOM-операциями, владелец сайта Y сможет сделать от моего лица что угодно на сайте X. Если это форум/соцсеть - запостить от моего имени спам, если это админка сайта, то совершить девейс и т. д. и т. п. То же самое касается и AJAX-запросов - при их выполнении сервер получит все необходимые куки для данного домена. А значит скрипт, который может послать AJAX-запрос, может сделать что угодно от имени пользователя на сайте X, хотя сам находится на сайте Y.
Исходная версия KivApple, :
Потому что смотри:
1) Допустим, в моей локалке есть некий сервис, недоступный из-вне. На нём лежат супер-секретные данные. Но я не беспокоюсь - ведь он доступен только из локалки. Я захожу на сайт Васи Пупкина, который содержит скрипт, который обратится по адресу из локалки, скачает все секретные данные, а затем отправит на сервер. PROFIT.
2) Допустим, я залогинен на сайте X. Я захожу на вредоносный сайт Y. Он содержит в себе маааленький iframe, который я не замечу (он скрыт, находится за пределами экрана, имеет размер 1х1 пиксель - что угодно), в котором прогружается сайт X. Разумеется, при этом сайту X отправляются все нужные куки и во фрейме авторизация также будет. А затем с помощью JavaScript и DOM-операциями, владелец сайта Y сможет сделать от моего лица что угодно на сайте X. Если это форум/соцсеть - запостить от моего спам, если это админка сайта, то совершить девейс и т. д. и т. п. То же самое касается и AJAX-запросов - при их выполнении сервер получит все необходимые куки для данного домена. А значит скрипт, который может послать AJAX-запрос, может сделать что угодно от имени пользователя на сайте X, хотя сам находится на сайте Y.