Re: Textová zpráva
Petr Labaj
labaj na volny.cz
Pátek Prosinec 16 19:01:32 CET 2022
Ano, předpokládá to nějakou bezpečnostní díru browseru.
V tom svém postu jsem to i psal.
A právě proto i záleží na verzi a typu browseru.
Za normálních okolností je Javascript zavřený v kleci.
Ale jen do té doby, než někdo najde dírku, kterou ho té klece může dostat.
PL
*******************
Dne 16.12.2022 v 16:42 Miroslav Mraz napsal(a):
> Já také nejsem odborník na bezpečnost, ale s webem jsem si poslední
> dobu dost hrál, takže jsem poznal, že dostat se javascriptem na
> lokální soubory je docela problém. Ty skripty běží v browseru v
> nějakém sandboxu, který vás ven nepustí. To je třeba hlavní důvod,
> proč skončily třeba java aplety. Ty vás na lokál normálně pustily.
> Takže zbývá nějaká bezpečnostní díra a nebo spoléhat na blbost
> uživatele a nechat ho, aby si nainstaloval škodlivý kód sám. Ta druhá
> možnost je asi pravděpodobnější, díru dříve či později někdo zalepí
> ale blbost lidská je věčná.
>
> Mrazík
>
> On 16. 12. 22 15:57, Petr Labaj wrote:
>> Ještě jsem tam zapomněl napsat: Javascript má myslím všelijaké metody
>> "onload"
>> a podobně, které se spustí hned po natažení stránky. Takže není třeba
>> ani na nic
>> na té zobrazené stránce kliknout. Stačí, aby ten škodlivý kód byl
>> právě v nějaké
>> takové samo-se-spouštející rutině.
>>
>> PL
Další informace o konferenci Hw-list