ChrisB: wie Domainübergreifend Daten austauschen ?

Beitrag lesen

SELF-Forum

wie Domainübergreifend Daten austauschen ?

ChrisB
Informationen zu den Bewertungsregeln

Hi,

Dann muss man sagen, dass du nicht wirklich nachgedacht hast, wo hier das Problem liegt und wer die Verantwortung für was trägt.

Doch, habe ich.

Manche Leute denken, und es kommt doch nix dabei rum ...

Verstehe: Weil es von Entwicklern gewünscht wird, wird also zugelassen, dass die z.B. auch XSS-Exploits programmieren können, von denen der Benutzer nichts merkt.

XSS wird gemeinhin dann als Lücke betrachtet, wenn Code ausgeführt wird, ohne dass der *Seitenbetreiber* dies beabsichtigt hat.

Noch mal - ob du ein Script auf deiner Seite einbindest, welches meine Kreditkartendaten nach Moskau übermittelt, oder ob du, ganz ohne XSS, dort anrufst und sie selber durchgibst, macht für mich als Nutzer deiner Seite keinen Unterschied.

Es kommt allein darauf an, wie vertrauenswürdig du als Seitenbetreiber mir erscheinst.

Es ging ja nie darum, dass das ausnutzbar werden soll, sondern nur darum, das viele Entwickler wie z.B. ich gern mehr Formatierungsmöglichkeiten für solche Felder hätten und vielleicht ein Filedialog auch mal mer JS geöffnet werden kann, so dass der Benutzer (nach seiner Zustimmung!) eine Datei aus seinem System zum Upload oder einen Ordner zum Download wählen kann.

Siehst du, hier vermischst du schon wieder zwei vollkommen gegensätzliche Dinge.

Wenn du mir weiss machen willst, dass ich nur deshalb eine Datei über den Button auswählen soll, weil du daraus den Order ermitteln willst, in dem ein Download gespeichert werden soll - dann braucht das nicht den Tatsachen zu entsprechen, und das Formular kann doch im nu abgesendet sein.

Ergo: Upload-Felder sind nur für Uploads da, und nicht für irgendwas anderes zu missbrauchen. Ein Browser, der dir weitergehende Kontrolle über Button und Dialog erlaubt, ist ein Sicherheitsrisiko für mich als Nutzer.

Verstehe also: Wenn man dem Benutzer eine Möglichkeit geben will einzugreifen, dann muss man ihn vor sich selbst schützen, weil er u.U. zu blöd ist, etwas zu entscheiden. Dafür ist der Browser dann wieder zuständig.

Ja, ist er.

Was für eine Logik ist das, und was für ein Verständnis von Sicherheit bzw. von Privatsphäre?

Eins, zu dem dir erstaunlicherweise immer noch die Einsicht fehlt.
(Obwohl ich langsam glaube, dass du deine Meinung nur aus Sturheit beibehältst.)

MfG ChrisB

--
“Whoever best describes the problem is the person most likely to solve the problem.” [Dan Roam]
Beitrag melden
Informationen zu den Bewertungsregeln
0 32

wie Domainübergreifend Daten austauschen ?

Hans
  • javascript
  1. 0
    Struppi
    1. 0
      suit
      1. 0
        Struppi
      2. 0
        Tom
      3. 0
        Struppi
        1. 0
          suit
      4. 0
        hans
        1. 0
          suit
          1. 0
            hans
            1. 0
              suit
            2. 0
              ChrisB
              1. 0
                Don P
                1. 0
                  ChrisB
                  1. 0
                    Don P
                    1. 0
                      ChrisB
                    2. 0
                      Pragma
                      1. 0
                        Don P
                    3. 0
                      Struppi
                  2. 0
                    Don P
                    1. 0
                      ChrisB
                      1. 0
                        Don P
                        1. 0
                          ChrisB
                        2. 0
                          hans
                          1. 0
                            Struppi
                            1. 0
                              hans
                        3. 0
                          Struppi
                          1. 0
                            Don P
                            1. 0
                              ChrisB
                              1. 0
                                Don P
        2. 0
          Struppi
      5. 0
        Cheatah