Re: Textová zpráva
Miroslav Mraz
mrazik na volny.cz
Pátek Prosinec 16 16:42:28 CET 2022
Já také nejsem odborník na bezpečnost, ale s webem jsem si poslední dobu
dost hrál, takže jsem poznal, že dostat se javascriptem na lokální
soubory je docela problém. Ty skripty běží v browseru v nějakém
sandboxu, který vás ven nepustí. To je třeba hlavní důvod, proč skončily
třeba java aplety. Ty vás na lokál normálně pustily.
Takže zbývá nějaká bezpečnostní díra a nebo spoléhat na blbost uživatele
a nechat ho, aby si nainstaloval škodlivý kód sám. Ta druhá možnost je
asi pravděpodobnější, díru dříve či později někdo zalepí ale blbost
lidská je věčná.
Mrazík
On 16. 12. 22 15:57, Petr Labaj wrote:
> Ještě jsem tam zapomněl napsat: Javascript má myslím všelijaké metody
> "onload"
> a podobně, které se spustí hned po natažení stránky. Takže není třeba
> ani na nic
> na té zobrazené stránce kliknout. Stačí, aby ten škodlivý kód byl právě
> v nějaké
> takové samo-se-spouštející rutině.
>
> PL
>
Další informace o konferenci Hw-list