Добро пожаловать, Гость. Пожалуйста авторизуйтесь здесь.
FGHIGate на GaNJa NeTWoRK ST@Ti0N - Просмотр сообщения в эхоконференции RU.FTN.DEVELOP
Введите FGHI ссылку:


Присутствуют сообщения из эхоконференции RU.FTN.DEVELOP с датами от 12 Jul 13 20:52:30 до 16 Jun 24 12:55:22, всего сообщений: 2498
Ответить на сообщение К списку сообщений Предыдущее сообщение Следующее сообщение
= Сообщение: 940 из 2498 ==================================== RU.FTN.DEVELOP =
От   : Mithgol the Webmaster            2:50/88            07 Mar 16 23:53:42
Кому : Alexey Vissarionov                                  07 Mar 16 23:53:42
Тема : Появление поддержки Markdown-подобной разметки гиперссылок в Фидо
FGHI : area://RU.FTN.DEVELOP?msgid=2:50/88+56ddefc4
На   : area://RU.FTN.DEVELOP?msgid=2:5020/545+56d9f044
= Кодировка сообщения определена как: CP866 ==================================
Ответ: area://RU.FTN.DEVELOP?msgid=2:5020/830.1124+56e1028c
==============================================================================
Так было 23:00 04 Mar 16 написано от Alexey Vissarionov к Mithgol the Webmaster:

MtW>> Я правильно понимаю, что небезопасность заключается в том,
MtW>> что пользователь просто-напросто не видит, куда уйдёт
MtW>> по гиперссылке?

AV> Да.

MtW>> Так как мобильные браузеры Интернета об этом особенно не
MtW>> беспокоятся,

AV> Если бы не беспокоились, не было бы
AV> https://addons.mozilla.org/ru/firefox/addon/683612/

MtW>> то не вижу существенной проблемы и для мобильных браузеров
MtW>> Фидонета.

AV> Вот как раз с мобильными клиентами все совсем грустно...

MtW>> Ещё можно в настройках мобильного браузера предусмотреть
MtW>> какой-нибудь 'Более безопасный режим', в котором будет появляться
MtW>> сообщение 'Вы идёте по такому-то адресу, уверены ли?' и дожидаться
MtW>> подтверждения.

AV> Посмотри, как работает RP. Особенно в связке с
AV> https://addons.mozilla.org/ru/firefox/addon/722/ ,
AV> https://addons.mozilla.org/ru/firefox/addon/6415/ ,
AV> https://addons.mozilla.org/ru/firefox/addon/5064/ ,
AV> https://addons.mozilla.org/ru/firefox/addon/334572/ и
AV> https://addons.mozilla.org/ru/firefox/addon/953/

AV> Суммарно они более-менее дотягивают FF до уровня "в первом приближении
AV> относительно безопасен".

RequestPolicy Continued: https://addons.mozilla.org/ru/firefox/addon/683612/

Защита от CSRF.

Так как появление текстовых гиперссылок и графических иллюстраций в Фидонете
ещё не означает поддержки XHR POST, то возможность CSRF остаётся только одна:
автор сайта делает нечто важное по GET-запросу, а фидонетовский злоумышленник
создаёт гиперссылку (по которой надо ткнуть) или картинку (которую достаточно
посмотреть, потому что на самом деле она не картинка, а запрос к отдалённому
сайту на выполнение действия).

Во-первых, в таких случаях виноват проектант отдалённого сайта, позволивший
чему-то важному произойти по GET-запросу (от простого перехода по адресу),
а не по POST-запросу (то есть от нажатия кнопки, например).

Во-вторых, если фидобраузер ── отдельное от обыкновенного интернет-браузера
приложение (а в случае с PhiDo это так; подозреваю, что и в случае с HotdogEd),
то тогда пользователь в нём не залогинен на отдалённом атакуемом сайте, и CSRF
через вставку картинки не получится (атака затрудняется необходимостью убедить
жмякнуть мышою по гиперссылке).

Впрочем, одного 'во-первых' достаточно в 2016 году.



NoScript: https://addons.mozilla.org/ru/firefox/addon/722/

Защита от выполнения нежелательных джаваскриптов.

К делу не имеет отношения, так как в Фидонете и без того нет выполнения
чужих джаваскриптов из сообщений фидопочты.



Certificate Patrol: https://addons.mozilla.org/ru/firefox/addon/6415/

Стремится защищать от подмены сертификата. Хорошо, но мало; больше уверенности
в неподменённости содержимого будет при использовании контентно-зависимой
адресации, примером чего является поддержка IPFS посредством демона IPFS,
запущенного непосредственно на узле Фидонета (или дистанционного в случае
мобильного просмотрщика, чтобы демон не съел всё электричество из батарейки
в мобильнике).



Redirector: https://addons.mozilla.org/ru/firefox/addon/5064/

Я что-то не очень уверен в том, какую проблему решает это расширение.



Cookie Controller: https://addons.mozilla.org/ru/firefox/addon/334572/

Пока у нас не начались жёсткие политические репрессии, так что факт прочтения
некоторого сообщения некоторым фидошником ── не Бог весть какая важная порция
данных.



RefControl: https://addons.mozilla.org/ru/firefox/addon/953/

Если какой-то сайт и узнает, что на него зашли не откуда-нибудь ещё, а именно
из Фидонета, то какая в том беда?



Фидонет будет великим и гипертекстовым!    [Ru.Mozilla]     http://Mithgol.Ru/
Mithgol the Webmaster.                    [Братство Нод] [Team А я меняю subj]

... Hавек презрев реальности отстой, мы вдохновенно в Паутине лазим
--- Из неоконченного:    ``Курилец'', стихотворение с политическим подтекстом.
* Origin: Это гологpафическая pоза осколочная ── тестовый обpазец (2:50/88)

К главной странице гейта
Powered by NoSFeRaTU`s FGHIGate
Открытие страницы: 0.116708 секунды