= Сообщение: 940 из 2525 ==================================== RU.FTN.DEVELOP = От : Mithgol the Webmaster 2:50/88 07 Mar 16 23:53:42 Кому : Alexey Vissarionov 07 Mar 16 23:53:42 Тема : Появление поддержки Markdown-подобной разметки гиперссылок в Фидо FGHI : area://RU.FTN.DEVELOP?msgid=2:50/88+56ddefc4 На : area://RU.FTN.DEVELOP?msgid=2:5020/545+56d9f044 = Кодировка сообщения определена как: CP866 ================================== Ответ: area://RU.FTN.DEVELOP?msgid=2:5020/830.1124+56e1028c ============================================================================== Так было 23:00 04 Mar 16 написано от Alexey Vissarionov к Mithgol the Webmaster:
MtW>> Я правильно понимаю, что небезопасность заключается в том, MtW>> что пользователь просто-напросто не видит, куда уйдёт MtW>> по гиперссылке?
AV> Да.
MtW>> Так как мобильные браузеры Интернета об этом особенно не MtW>> беспокоятся,
MtW>> то не вижу существенной проблемы и для мобильных браузеров MtW>> Фидонета.
AV> Вот как раз с мобильными клиентами все совсем грустно...
MtW>> Ещё можно в настройках мобильного браузера предусмотреть MtW>> какой-нибудь 'Более безопасный режим', в котором будет появляться MtW>> сообщение 'Вы идёте по такому-то адресу, уверены ли?' и дожидаться MtW>> подтверждения.
Так как появление текстовых гиперссылок и графических иллюстраций в Фидонете ещё не означает поддержки XHR POST, то возможность CSRF остаётся только одна: автор сайта делает нечто важное по GET-запросу, а фидонетовский злоумышленник создаёт гиперссылку (по которой надо ткнуть) или картинку (которую достаточно посмотреть, потому что на самом деле она не картинка, а запрос к отдалённому сайту на выполнение действия).
Во-первых, в таких случаях виноват проектант отдалённого сайта, позволивший чему-то важному произойти по GET-запросу (от простого перехода по адресу), а не по POST-запросу (то есть от нажатия кнопки, например).
Во-вторых, если фидобраузер ── отдельное от обыкновенного интернет-браузера приложение (а в случае с PhiDo это так; подозреваю, что и в случае с HotdogEd), то тогда пользователь в нём не залогинен на отдалённом атакуемом сайте, и CSRF через вставку картинки не получится (атака затрудняется необходимостью убедить жмякнуть мышою по гиперссылке).
Впрочем, одного 'во-первых' достаточно в 2016 году.
Стремится защищать от подмены сертификата. Хорошо, но мало; больше уверенности в неподменённости содержимого будет при использовании контентно-зависимой адресации, примером чего является поддержка IPFS посредством демона IPFS, запущенного непосредственно на узле Фидонета (или дистанционного в случае мобильного просмотрщика, чтобы демон не съел всё электричество из батарейки в мобильнике).
Пока у нас не начались жёсткие политические репрессии, так что факт прочтения некоторого сообщения некоторым фидошником ── не Бог весть какая важная порция данных.
Если какой-то сайт и узнает, что на него зашли не откуда-нибудь ещё, а именно из Фидонета, то какая в том беда?
Фидонет будет великим и гипертекстовым! [Ru.Mozilla] http://Mithgol.Ru/ Mithgol the Webmaster. [Братство Нод] [Team А я меняю subj]
... Hавек презрев реальности отстой, мы вдохновенно в Паутине лазим --- Из неоконченного: ``Курилец'', стихотворение с политическим подтекстом. * Origin: Это гологpафическая pоза осколочная ── тестовый обpазец (2:50/88)
