דילוג לתוכן
  • דף הבית
  • קטגוריות
  • פוסטים אחרונים
  • משתמשים
  • חיפוש
  • חוקי הפורום
כיווץ
תחומים

תחומים - פורום חרדי מקצועי

💡 רוצה לזכור קריאת שמע בזמן? לחץ כאן!
  1. דף הבית
  2. על הפורום
  3. רשימת הצעות, בקשות ודיווח באגים
  4. שמירה בשם במקום תצוגת תמונות

שמירה בשם במקום תצוגת תמונות

מתוזמן נעוץ נעול הועבר רשימת הצעות, בקשות ודיווח באגים
24 פוסטים 5 כותבים 897 צפיות 3 עוקבים
  • מהישן לחדש
  • מהחדש לישן
  • הכי הרבה הצבעות
תגובה
  • תגובה כנושא
התחברו כדי לפרסם תגובה
נושא זה נמחק. רק משתמשים עם הרשאות מתאימות יוכלו לצפות בו.
  • ארי63א ארי63

    @yossiz זה היה הסחפות באווירה הפורימית...

    zvinissimZ מנותק
    zvinissimZ מנותק
    zvinissim
    כתב ב נערך לאחרונה על ידי zvinissim
    #13

    @ארי63 מתנצל
    לא הבנתי כלום מכל הבלגן

    אשמח להסבר פשוט של הדבר הזה

    עריכה:
    רציני לחלוטין

    פורום אופיס
    לכל הטיפים שלי

    yossizY תגובה 1 תגובה אחרונה
    1
    • zvinissimZ zvinissim

      @ארי63 מתנצל
      לא הבנתי כלום מכל הבלגן

      אשמח להסבר פשוט של הדבר הזה

      עריכה:
      רציני לחלוטין

      yossizY מנותק
      yossizY מנותק
      yossiz
      כתב ב נערך לאחרונה על ידי
      #14

      @zvinissim איזה בלגן? של חור האבטחה? אתה יושב ככה בארמון שלך מרגיש בטוח כאשר בכל רגע הכל יכול להתפוצץ? מה איתך?

      בקיצער, כמה אתה מכיר טכנולוגיות ווב?
      יש מה שנקרא קוקיס (עוגיות), באמצעותם האתר מזהה אותך (כן, אני מתכוון לך אישית) כמישהו עם הרשאות להעביר פוסטים ממקום למקום.
      יש מה שנקרא javascript שזה סקריפט שרץ בתוך הדף, לסקריפט יש גישה לכספת העוגיות ששייכות לאותו אתר.
      אם נגיד, מותר לי (yossiz) להעלות דף HTML שייפתח בדפדפן, ואם נגיד אני ארצה להיות רשע, אז הייתי יכול להעלות דף שכולל בתוכו סקריפט שיגנוב את העוגיות ממך ויעבירם אלי. ברגע שאתה פותח את הדף, הסקריפט רץ בדפדפן שלך, גונב את העוגיות, מעביר אותם לשרת שלי, ואז כמו שאומרים, זה game over.

      ברור?

      📧 יוסי@מייל.קום | 🌎 בלוג | ☕ קפה

      zvinissimZ תגובה 1 תגובה אחרונה
      7
      • yossizY yossiz

        @zvinissim איזה בלגן? של חור האבטחה? אתה יושב ככה בארמון שלך מרגיש בטוח כאשר בכל רגע הכל יכול להתפוצץ? מה איתך?

        בקיצער, כמה אתה מכיר טכנולוגיות ווב?
        יש מה שנקרא קוקיס (עוגיות), באמצעותם האתר מזהה אותך (כן, אני מתכוון לך אישית) כמישהו עם הרשאות להעביר פוסטים ממקום למקום.
        יש מה שנקרא javascript שזה סקריפט שרץ בתוך הדף, לסקריפט יש גישה לכספת העוגיות ששייכות לאותו אתר.
        אם נגיד, מותר לי (yossiz) להעלות דף HTML שייפתח בדפדפן, ואם נגיד אני ארצה להיות רשע, אז הייתי יכול להעלות דף שכולל בתוכו סקריפט שיגנוב את העוגיות ממך ויעבירם אלי. ברגע שאתה פותח את הדף, הסקריפט רץ בדפדפן שלך, גונב את העוגיות, מעביר אותם לשרת שלי, ואז כמו שאומרים, זה game over.

        ברור?

        zvinissimZ מנותק
        zvinissimZ מנותק
        zvinissim
        כתב ב נערך לאחרונה על ידי
        #15

        @yossiz אמר בשמירה בשם במקום תצוגת תמונות:

        @zvinissim איזה בלגן? של חור האבטחה? אתה יושב ככה בארמון שלך מרגיש בטוח כאשר בכל רגע הכל יכול להתפוצץ? מה איתך?

        בקיצער, כמה אתה מכיר טכנולוגיות ווב?
        יש מה שנקרא קוקיס (עוגיות), באמצעותם האתר מזהה אותך (כן, אני מתכוון לך אישית) כמישהו עם הרשאות להעביר פוסטים ממקום למקום.
        יש מה שנקרא javascript שזה סקריפט שרץ בתוך הדף, לסקריפט יש גישה לכספת העוגיות ששייכות לאותו אתר.
        אם נגיד, מותר לי (yossiz) להעלות דף HTML שייפתח בדפדפן, ואם נגיד אני ארצה להיות רשע, אז הייתי יכול להעלות דף שכולל בתוכו סקריפט שיגנוב את העוגיות ממך ויעבירם אלי. ברגע שאתה פותח את הדף, הסקריפט רץ בדפדפן שלך, גונב את העוגיות, מעביר אותם לשרת שלי, ואז כמו שאומרים, זה game over.

        ברור?

        @yossiz את העוגיות הבנתי רק עם כוס חלב בצד

        רציני
        עכשיו הבנתי את הענין
        אבל באותה מידה לא חייב שזה יהיה דף אינטרנט אלא אפילו תמונה שנפתחת בכרטסיה נפרדת לא?

        פורום אופיס
        לכל הטיפים שלי

        dovidD תגובה 1 תגובה אחרונה
        2
        • dovidD מנותק
          dovidD מנותק
          dovid
          ניהול
          כתב ב נערך לאחרונה על ידי dovid
          #16

          הבעיה כעת סודרה, לכאורה.
          הייתה בעיה רצינית שמי שהעלה html, הקובץ היה נפתח לתצוגה בדפדפן ולא להורדה.
          למה זה בעיה? ההסבר של @יוסף-בן-שמעון ו @yossiz מסביר את הרקע אבל לא לגמרי מדייק.
          העוגיות של הדפדפן הם אלה שגורמות לכך שהאתר מזהה אותי כמי שלפני תקופה שמתי שם וסיסמה ומכח זה הגולש יכול לגשת לאיזור אישי שלו דיקא, או כמנהל לאיזור ניהול וכו'
          כעת כל זה קורה במחשב הגולש שאכן הזין את השם והסיסמה הנכונים. אז עד כאן הכל בסדר.
          עכשיו התוקף יכול לבנות דף HTML ולהעלות אותו לפורום תוך עידוד פתיחתו ("מה דעתכם על העיצוב"), ושמה בדף הוא יכתוב קוד JS שלוקח את התוכן של העוגיות ולאחמ"כ לשלוח למקום שידוע לו. לזה קוראים גניבת עוגיות - אבל החשש הזה לא היה קיים במקרה שלנו! כי העוגיות על מצב http only = אין גישה לJS.
          אז מה כן החשש? פשוט מאוד - כותב הדף הHTML, ינסה בקוד הJS לגנוב מידע במקום לגנוב עוגיות. למשל הוא ייגש למייל של הגולש הנתקף שמוסתר לכולם (וזה זכות הקוד של הJS לגשת למידע זה שהרי הוא רץ במחשב של המשתמש הרלוונטי) ולחמ"כ לשלוח אותו לשרת של התוקף'.
          ב"ה פתרתי את זה בעזרת @magicode ע"י הוספת ההידר Content-Disposition 'attachment;' זה גורם לכך שהדפדפן יתייחס לקבצים כקבצי הורדה ולא יציג אותם. כך מחשב הנתקף מוגן מגניבה, כי הקוד שבדף לא ירוץ במחשב שלו, ופרטיו לא ייגנבו.

          • מנטור אישי בתכנות והמסתעף – להתקדם לשלב הבא!
          • בכל נושא אפשר ליצור קשר dovid@tchumim.com
          מלאמ yossizY 2 תגובות תגובה אחרונה
          10
          • dovidD dovid

            הבעיה כעת סודרה, לכאורה.
            הייתה בעיה רצינית שמי שהעלה html, הקובץ היה נפתח לתצוגה בדפדפן ולא להורדה.
            למה זה בעיה? ההסבר של @יוסף-בן-שמעון ו @yossiz מסביר את הרקע אבל לא לגמרי מדייק.
            העוגיות של הדפדפן הם אלה שגורמות לכך שהאתר מזהה אותי כמי שלפני תקופה שמתי שם וסיסמה ומכח זה הגולש יכול לגשת לאיזור אישי שלו דיקא, או כמנהל לאיזור ניהול וכו'
            כעת כל זה קורה במחשב הגולש שאכן הזין את השם והסיסמה הנכונים. אז עד כאן הכל בסדר.
            עכשיו התוקף יכול לבנות דף HTML ולהעלות אותו לפורום תוך עידוד פתיחתו ("מה דעתכם על העיצוב"), ושמה בדף הוא יכתוב קוד JS שלוקח את התוכן של העוגיות ולאחמ"כ לשלוח למקום שידוע לו. לזה קוראים גניבת עוגיות - אבל החשש הזה לא היה קיים במקרה שלנו! כי העוגיות על מצב http only = אין גישה לJS.
            אז מה כן החשש? פשוט מאוד - כותב הדף הHTML, ינסה בקוד הJS לגנוב מידע במקום לגנוב עוגיות. למשל הוא ייגש למייל של הגולש הנתקף שמוסתר לכולם (וזה זכות הקוד של הJS לגשת למידע זה שהרי הוא רץ במחשב של המשתמש הרלוונטי) ולחמ"כ לשלוח אותו לשרת של התוקף'.
            ב"ה פתרתי את זה בעזרת @magicode ע"י הוספת ההידר Content-Disposition 'attachment;' זה גורם לכך שהדפדפן יתייחס לקבצים כקבצי הורדה ולא יציג אותם. כך מחשב הנתקף מוגן מגניבה, כי הקוד שבדף לא ירוץ במחשב שלו, ופרטיו לא ייגנבו.

            מלאמ מנותק
            מלאמ מנותק
            מלא
            כתב ב נערך לאחרונה על ידי
            #17

            @dovid אצלי הוא עדיין מוריד...

            dovidD תגובה 1 תגובה אחרונה
            0
            • מלאמ מלא

              @dovid אצלי הוא עדיין מוריד...

              dovidD מנותק
              dovidD מנותק
              dovid
              ניהול
              כתב ב נערך לאחרונה על ידי
              #18

              @מלא אמר בשמירה בשם במקום תצוגת תמונות:

              @dovid אצלי הוא עדיין מוריד...

              את מה?
              תן לינק, או תעלה תמונה.

              • מנטור אישי בתכנות והמסתעף – להתקדם לשלב הבא!
              • בכל נושא אפשר ליצור קשר dovid@tchumim.com
              מלאמ תגובה 1 תגובה אחרונה
              1
              • dovidD dovid

                @מלא אמר בשמירה בשם במקום תצוגת תמונות:

                @dovid אצלי הוא עדיין מוריד...

                את מה?
                תן לינק, או תעלה תמונה.

                מלאמ מנותק
                מלאמ מנותק
                מלא
                כתב ב נערך לאחרונה על ידי מלא
                #19

                @dovid
                הבעיה של צבי..
                כל תמונה שאני לוחץ עליה יורדת למחשב במקום שתהיה מוצגת.
                תמונה שאני העלתי הוא כן פותח בדפדפן.
                בדקתי באשכול שהסגיר לך את הפירצה.

                עריכה: באשכולות אחרים הוא כן מציג...

                תגובה 1 תגובה אחרונה
                0
                • dovidD מנותק
                  dovidD מנותק
                  dovid
                  ניהול
                  כתב ב נערך לאחרונה על ידי
                  #20

                  ביקשתי לינק או תמונה.
                  אולי זה משאב שנכנסת אליו לפני כן ואז המטמון שומר גם את הכותרות (headers).

                  • מנטור אישי בתכנות והמסתעף – להתקדם לשלב הבא!
                  • בכל נושא אפשר ליצור קשר dovid@tchumim.com
                  מלאמ תגובה 1 תגובה אחרונה
                  1
                  • dovidD dovid

                    ביקשתי לינק או תמונה.
                    אולי זה משאב שנכנסת אליו לפני כן ואז המטמון שומר גם את הכותרות (headers).

                    מלאמ מנותק
                    מלאמ מנותק
                    מלא
                    כתב ב נערך לאחרונה על ידי
                    #21

                    @dovid
                    זה היה בכל התמונות של האשכול ההוא כמו שכתבתי...

                    אמרת שזה מטמון,
                    עשיתי רענון עמוק 'ריקון המטמון וכו' ואכן סודר...

                    תגובה 1 תגובה אחרונה
                    1
                    • dovidD dovid

                      הבעיה כעת סודרה, לכאורה.
                      הייתה בעיה רצינית שמי שהעלה html, הקובץ היה נפתח לתצוגה בדפדפן ולא להורדה.
                      למה זה בעיה? ההסבר של @יוסף-בן-שמעון ו @yossiz מסביר את הרקע אבל לא לגמרי מדייק.
                      העוגיות של הדפדפן הם אלה שגורמות לכך שהאתר מזהה אותי כמי שלפני תקופה שמתי שם וסיסמה ומכח זה הגולש יכול לגשת לאיזור אישי שלו דיקא, או כמנהל לאיזור ניהול וכו'
                      כעת כל זה קורה במחשב הגולש שאכן הזין את השם והסיסמה הנכונים. אז עד כאן הכל בסדר.
                      עכשיו התוקף יכול לבנות דף HTML ולהעלות אותו לפורום תוך עידוד פתיחתו ("מה דעתכם על העיצוב"), ושמה בדף הוא יכתוב קוד JS שלוקח את התוכן של העוגיות ולאחמ"כ לשלוח למקום שידוע לו. לזה קוראים גניבת עוגיות - אבל החשש הזה לא היה קיים במקרה שלנו! כי העוגיות על מצב http only = אין גישה לJS.
                      אז מה כן החשש? פשוט מאוד - כותב הדף הHTML, ינסה בקוד הJS לגנוב מידע במקום לגנוב עוגיות. למשל הוא ייגש למייל של הגולש הנתקף שמוסתר לכולם (וזה זכות הקוד של הJS לגשת למידע זה שהרי הוא רץ במחשב של המשתמש הרלוונטי) ולחמ"כ לשלוח אותו לשרת של התוקף'.
                      ב"ה פתרתי את זה בעזרת @magicode ע"י הוספת ההידר Content-Disposition 'attachment;' זה גורם לכך שהדפדפן יתייחס לקבצים כקבצי הורדה ולא יציג אותם. כך מחשב הנתקף מוגן מגניבה, כי הקוד שבדף לא ירוץ במחשב שלו, ופרטיו לא ייגנבו.

                      yossizY מנותק
                      yossizY מנותק
                      yossiz
                      כתב ב נערך לאחרונה על ידי
                      #22

                      @dovid אמר בשמירה בשם במקום תצוגת תמונות:

                      כי העוגיות על מצב http only = אין גישה לJS.

                      אוקיי, למדתי משהו שלא כ"כ הכרתי

                      אז מה כן החשש? פשוט מאוד - כותב הדף הHTML, ינסה בקוד הJS לגנוב מידע במקום לגנוב עוגיות. למשל הוא ייגש למייל של הגולש הנתקף שמוסתר לכולם

                      האם היה אפשרות ליצור פוסטים בשם המשתמש?

                      📧 יוסי@מייל.קום | 🌎 בלוג | ☕ קפה

                      dovidD תגובה 1 תגובה אחרונה
                      1
                      • yossizY yossiz

                        @dovid אמר בשמירה בשם במקום תצוגת תמונות:

                        כי העוגיות על מצב http only = אין גישה לJS.

                        אוקיי, למדתי משהו שלא כ"כ הכרתי

                        אז מה כן החשש? פשוט מאוד - כותב הדף הHTML, ינסה בקוד הJS לגנוב מידע במקום לגנוב עוגיות. למשל הוא ייגש למייל של הגולש הנתקף שמוסתר לכולם

                        האם היה אפשרות ליצור פוסטים בשם המשתמש?

                        dovidD מנותק
                        dovidD מנותק
                        dovid
                        ניהול
                        כתב ב נערך לאחרונה על ידי
                        #23

                        @yossiz אמר בשמירה בשם במקום תצוגת תמונות:

                        האם היה אפשרות ליצור פוסטים בשם המשתמש?

                        לדף ברור שיש, איך לא יהיה לו, אבל לתוקף אין אפשרות (מעבר לרגעים בהם המשתמש בדף וגם אז זה עם תקשורת מול שרת שיש לו הוראות מראש).

                        • מנטור אישי בתכנות והמסתעף – להתקדם לשלב הבא!
                        • בכל נושא אפשר ליצור קשר dovid@tchumim.com
                        תגובה 1 תגובה אחרונה
                        2
                        • zvinissimZ zvinissim

                          @yossiz אמר בשמירה בשם במקום תצוגת תמונות:

                          @zvinissim איזה בלגן? של חור האבטחה? אתה יושב ככה בארמון שלך מרגיש בטוח כאשר בכל רגע הכל יכול להתפוצץ? מה איתך?

                          בקיצער, כמה אתה מכיר טכנולוגיות ווב?
                          יש מה שנקרא קוקיס (עוגיות), באמצעותם האתר מזהה אותך (כן, אני מתכוון לך אישית) כמישהו עם הרשאות להעביר פוסטים ממקום למקום.
                          יש מה שנקרא javascript שזה סקריפט שרץ בתוך הדף, לסקריפט יש גישה לכספת העוגיות ששייכות לאותו אתר.
                          אם נגיד, מותר לי (yossiz) להעלות דף HTML שייפתח בדפדפן, ואם נגיד אני ארצה להיות רשע, אז הייתי יכול להעלות דף שכולל בתוכו סקריפט שיגנוב את העוגיות ממך ויעבירם אלי. ברגע שאתה פותח את הדף, הסקריפט רץ בדפדפן שלך, גונב את העוגיות, מעביר אותם לשרת שלי, ואז כמו שאומרים, זה game over.

                          ברור?

                          @yossiz את העוגיות הבנתי רק עם כוס חלב בצד

                          רציני
                          עכשיו הבנתי את הענין
                          אבל באותה מידה לא חייב שזה יהיה דף אינטרנט אלא אפילו תמונה שנפתחת בכרטסיה נפרדת לא?

                          dovidD מנותק
                          dovidD מנותק
                          dovid
                          ניהול
                          כתב ב נערך לאחרונה על ידי
                          #24

                          @zvinissim אמר בשמירה בשם במקום תצוגת תמונות:

                          אבל באותה מידה לא חייב שזה יהיה דף אינטרנט אלא אפילו תמונה שנפתחת בכרטסיה נפרדת לא?

                          לא, כי בתמונה הדפדפן נטו מציג תוכן, ולא מריץ קוד כפי שהוא עושה בדף אינטרנט עם JavaScript.

                          • מנטור אישי בתכנות והמסתעף – להתקדם לשלב הבא!
                          • בכל נושא אפשר ליצור קשר dovid@tchumim.com
                          תגובה 1 תגובה אחרונה
                          5
                          תגובה
                          • תגובה כנושא
                          התחברו כדי לפרסם תגובה
                          • מהישן לחדש
                          • מהחדש לישן
                          • הכי הרבה הצבעות


                          • 1
                          • 2
                          בא תתחבר לדף היומי!
                          • התחברות

                          • אין לך חשבון עדיין? הרשמה

                          • התחברו או הירשמו כדי לחפש.
                          • פוסט ראשון
                            פוסט אחרון
                          0
                          • דף הבית
                          • קטגוריות
                          • פוסטים אחרונים
                          • משתמשים
                          • חיפוש
                          • חוקי הפורום