• 0 رای - 0 میانگین
  • 1
  • 2
  • 3
  • 4
  • 5
مشکل امنیتی کلاس کاذب :visited
#1
برگرفته از کتاب آموزش CSS3 و HTML5 در قالب پروژه (مترجم: امیر عباس عبدالعلی) ص ۱۵۳:
نقل قول:کلاس کاذب :visited ممکن است باعث مشکل امنیتی شود و احتمال دارد که در آینده از آن پشتیبانی کامل نشود. به طور خلاصه، سایت‌های آلوده میتوانند، سبکی را برای لینک‌های بازدید شده تعریف کنند و سپس با استفاده از جاوا‌اسکریپت، وضعیت لینک‌هایی را که بازدید کرده‌اید را بررسی کنند. با این کار، فرد مهاجم میتواند، بدون اجازه شما، تاریخچه سایت‌های بازدید شده توسط شما را ببیند. به همین دلیل بسیاری از مرورگر‌ها، سبک‌دهی به کلاس کاذب :visited را محدود کرده‌اند و برخی دیگر (مانند سفاری ۵) این قابلیت را غیر‌فعال کرده‌اند.
در مستندات نیز، از تغییراتی که توسط مرورگر‌ها اعمال شده است، چشم‌پوشی شده و آمده است: «مرورگر‌ها یا عاملان کاربر (user agents)، باید با تمامی لینک‌ها به شکلی برخورد کنند، گویی که این لینک‌ها بازدید نشده‌اند و یا با درنظر گرفتن حریم شخصی کاربران، به سبکی خاص، لینک‌های بازدید شده را از دیگر لینک‌ها تمایز کنند.»
غایب
  پاسخ
تشکر شده توسط : Y.P.Y Bojbaj
#2
فکر میکنم این مشکل رو بیشتر مرورگرها باید هندل کنن.
مثلا شنیده بودم که، فکر کنم فایرفاکس، مقدار استایل لینک های ویزیت شده رو برابر خالی یا مساوی لینک های ویزیت نشده به کوئری های جاوااسکریپت برمیگردوند بخاطر همین (البته از نسخهء بعدی که متوجه این سوء استفاده شدن).

اینکه گفته شده ما از این کلاس استفاده نکنیم احتمالا تفسیر یا ترجمهء اشتباهی چیزی بوده. دلیلی نمیبینم که ازش استفاده نکنیم. همینطوریش هم مرورگر خودش استایل متفاوتی برای این کلاس داره و اگر قرار به سوء استفاده باشه از همون مقدار پیشفرض هم میشه سوء استفاده کرد.
وقتی نشه با جاوااسکریپت تفاوت استایل این کلاس رو تشخیص داد، بنظرم نمیشه ازش سوء استفاده کرد.

کلا هم جملاتی که گفته یک مقدار کلی و مبهم و نامفهومه و منبعی چیزی هم که براش نیاورده که بتونیم پیگیری کنیم از منبع اصلیش.
  پاسخ
تشکر شده توسط :
#3
نقل قول:اینکه گفته شده ما از این کلاس استفاده نکنیم احتمالا تفسیر یا ترجمهء اشتباهی چیزی بوده
کجا نوشته شده که استفاده نکنید؟!
غایب
  پاسخ
تشکر شده توسط :
#4
آره راست میگی ظاهرا چنین چیزی ننوشته.
ولی میگه ساپورتش رو دارن حذف یا محدود میکنن!
من یخورده فکر کردم یه چیزایی بنظرم رسید که چرا این کار رو میکنن.
اگه گفتید چرا؟
مثلا اگر اجازه ندن که style لینک ها توسط جاوااسکریپت خونده بشه، دیگه چطوری ممکنه سوء استفاده صورت بگیره؟ یعنی وقتی هکر اصلا نمیتونه استایل لینک در سمت کاربر رو بخونه، پس چطور میتونه ازش سوء استفاده کنه که نیاز باشه امکان استایل دهی رو حذف یا محدود کنن؟
  پاسخ
تشکر شده توسط :


پرش به انجمن:


کاربران در حال بازدید این موضوع: 1 مهمان