Чё-то не понял, а какая разница ajax или не ajax? И что такое "взлом JavaScript". Понятно дело если злоумышленик имеет доступ на запись всякого когда в страницу то он может завладеть данными пользователей которые вводят на это странице данные, при чём тут аякс не понятно... Типа данные "на-лету" отправляються на сайт злоумышленика. Так по моему броузеры блокируют подключения к левым хостам. А если не блокируют так блокировку можно добавить.
Чё-то не понял, а какая разница ajax или не ajax? И что такое "взлом JavaScript". Понятно дело если злоумышленик имеет доступ на запись всякого когда в страницу то он может завладеть данными пользователей которые вводят на это странице данные, при чём тут аякс не понятно... Типа данные "на-лету" отправляються на сайт злоумышленика. Так по моему броузеры блокируют подключения к левым хостам. А если не блокируют так блокировку можно добавить.
через XSS попробовать переписать часть кода страницы... так очевидно
ТОже ничего не понял про "Взлом JS" написали бы статью по этому поводу более подробно... А то сложились какие-то догадки, но ничего принципиально нового я в них не вижу...
Все что делается на стороне клиента, подлежит сомнению всегда. Ничего нового не открыли. Иногда дешевле не париться, чем заниматься бессмысленной борьбой.
миру грозит очередной кибер-апокалипсис через «взлом яваскрипта»! и только доблестным труженикам Fortify Software, ведущим неравную борьбу со злом, под силу остановить надвигающийся конец света!
>XMLHttpRequets() - даст вполне исчерпывающий ответ! Является объектом JavaScript используемым в AJAX.
нифига не исчерпывающий
Не я понимаю. Но что такого уязвимого в AJAX приложении что не уязвимо в обычном? Ведь "взлом Javasript" а я так понимаю подразумевается через XSS предоставляет полный контроль на содержимом странице. И не важно AJAX или не AJAX.
Может имелось введу что злоумышленик может общаться сервером посредством AJAX в обход каких-то не додуманных средств защиты. Но это криворукость конкретного программиста.
Также там говорилось про JSON. Может быть также имеется ввиду XSS атака через JSON (если есть такое понятие) но опять таки это обычный XSS.
Кароче нифига не понято, нет никакого взлома JavaScript и AJAX приложение не несёт большей опастности чем обычное приложение. ИМХО конечно...
Вообще-то, единственное, что отличает AJAX от обычного веб-клиента - это возможность отправить запросы серверу, не перегружая страницу, а также формировать содержимое страницы, не дожижаясь ответа сервера. Все остальные проблемы: идентификация сеанса/клиента, проверка принимаемых/отправляемых данных, и.т.п. остаются прежними и должны решаться как на стороне клиента так и на стороне сервера.
Просто, видимо, речь идет о том, что AJAX облегчает технологию создания клиент-серверных веб-приложений, допуская к ней товарищей, не заботящихся о безопасности ...