Vlákno názorů k článku Je náročné se dostat do cizí webmailové schránky? od llook - ad http://mail/img?url=http://... Tak to dělají špatně. Já jsem nemyslel...
-
Článek je starý, nové názory již nelze přidávat.
- Podle hodnocení
- Podle vláken
- Nejnovější
-
llook (neregistrovaný)ad http://mail/img?url=http://...
Tak to dělají špatně. Já jsem nemyslel 302, ale něco na způsob anonymizer.com. Prostě jednoduchý skript, který by obrázek načetl a poslal.
Když nad tím teď přemýšlím, tak je ale lepší obrázky z venku prostě blokovat, stejně jako to dělají klasičtí POP3/IMAP klienti. -
Ondrej Mikle (neregistrovaný)Ad http://mail/img?url=http://..
No to je prave to co nefunguje...aspon tie testovane webmaily to tak robili. Skript img proste poslal HTTP 302 Found a presmeroval, ale browser posiela aj tak referer.
Jedna moznost je pouzit https, potom browser by _nemal_ podla RFC 2616 poslat Referer:
"Clients SHOULD NOT include a Referer header field in a (non-secure)
HTTP request if the referring page was transferred with a secure
protocol."
Ako to ktory browser dodrzuje, je uz druha vec, neskusal som vsetky. -
llook (neregistrovaný)Jde tak trochu o objevení Ameriky, ale to nijak nesnižuje závažnost.
Je tedy potřeba filtrovat obrázky (třeba něčím jako http://mail/img?url=http://...), elementy <script>, atributy jako onmouseover atd.
Navíc existuje jeden prohlížeč (hádejte který;)), do kterého lze javascript propašovat i přes CSS, zkuste si poslat HTML mail s něčím takovým:
<p style="background: url('javascript:alert("hello world");');">...</p>
Takže nakonec filtrovat i to CSS...
ČLÁNKY DO MAILU