- Beszántaná a marketingért felelős részlegét az Intel
- A látszat ellenére helyesen működik az NVIDIA-féle Resizable BAR implementáció
- A Perplexity felvásárlását fontolgatja az Apple
- XIV. Leó pápa szerint a politikusoknak kezdeniük kell valamit az AI-veszélyekkel
- Beperelték az Apple-t a részvényesei, mert túlzott az AI-fejlesztések kapcsán
- Léghűtés topik
- Milyen billentyűzetet vegyek?
- Házimozi belépő szinten
- NVIDIA GeForce RTX 5080 / 5090 (GB203 / 202)
- OLED TV topic
- AMD K6-III, és minden ami RETRO - Oldschool tuning
- AMD vs. INTEL vs. NVIDIA
- Bluetooth hangszórók
- A látszat ellenére helyesen működik az NVIDIA-féle Resizable BAR implementáció
- AMD Ryzen 9 / 7 / 5 / 3 5***(X) "Zen 3" (AM4)
Új hozzászólás Aktív témák
-
sztanozs
veterán
válasz
supercow
#17073
üzenetére
Jó az oldal, amit linkeltél (bár több, mint két éves a cikk) - de továbbra is kitartok amellett, hogy a böngésző a leggyengébb szem a védelmi láncban. Amennyiben böngésző dekódol az egyetlen helyben tárolt kulccsal - itt az egyetlen probléma maga a böngésző - egyszerűen nincs lehetőség megfelelően "elzárni" a kulcsot, amit a kliens oldali kód használ.
Kicsit végiggondolva, akövetkezők használhatók a kulcs átadására (szerver és kliens oldal között):
1. Cookie, form fields, header fields - mindegyikkel az a gond, hogy bármelyik JS elérheti, amelyik be tud töltődni az oldal scope-ja alatt...
2. Javascript (non-global) hardcoded privát változó/konstans - ezzel az a gond, hogy cache-elődik a gépre és utólag kibányászható...
3. XHTTP Request http-only cookie-val, válasz (master password, titkosított jelszó adatbázis) privát változókba tárolva - ez talán legkevésbé kockázatos megoldás, így nem kell hardcode-olni a master hash-t és a jelszó adatbázist. az alábbi triviális támadási módok vannak ellene:
- Másik JS is tud egy XHTTP kérést küldeni és neki is elküldi a szerver a master hash-t/ jelszó adatbázist. Illetve másik JS is el tudja érni a privát változóink publikus interfészét, tudja hívogatni a metódusokat...
Digitálisan aláírt JS kikényszerítésével lehet esetleg védekezni ezek ellen.
- Böngésző JS debuggerén keresztül hozzá lehet férni a változókhoz (egyes beépülő modulok ezt is tudják kontrollálni)
Új hozzászólás Aktív témák
- Motorolaj, hajtóműolaj, hűtőfolyadék, adalékok és szűrők topikja
- Kertészet, mezőgazdaság topik
- Léghűtés topik
- Milyen billentyűzetet vegyek?
- Okos Otthon / Smart Home
- BestBuy topik
- Házimozi belépő szinten
- The Division 2 (PC, XO, PS4)
- Xiaomi 15 - kicsi telefon nagy energiával
- Tőzsde és gazdaság
- További aktív témák...
- BESZÁMÍTÁS! Gigabyte H610M i5 13400F 16GB DDR4 512GB SSD RX 6700XT 12GB DeepCool MATREXX 40 650W
- ÁRGARANCIA!Épített KomPhone i5 14600KF 32/64GB DDR5 RTX 4070Ti Super GAMER PC termékbeszámítással
- Telefon szerviz helyben - Gyors javítás, akár 30 perc alatt!
- Bomba ár! HP 255 G7 - AMD A4 I 4GB I 128SSD I HDMI I 15,6" FHD I Radeon I HDMI I W11 I Cam I Gari!
- Telefon felvásárlás!! Huawei P20 Lite/Huawei P20/Huawei P30 Lite/Huawei P30/Huawei P30 Pro
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: CAMERA-PRO Hungary Kft
Város: Budapest