Top.Mail.Ru
А как в ЖЖ с Java скриптами? По-прежнему запрещены? (пытаюсь… - Компьютеры - Soft & Hard — ЖЖ
? ?
 

А как в ЖЖ с Java скриптами? По-прежнему запрещены? (пытаюсь…

About Компьтерная жизнь в Израиле по русски.

Previous Entry 28 май, 2009 @ 14:17 Next Entry
А как в ЖЖ с Java скриптами? По-прежнему запрещены?
(пытаюсь настроить вот этот виджет)
Оставить комментарий
[User Picture Icon]
From:romanet
Date:Май, 28, 2009 14:29 (UTC)
(Link)
Запрещены, разве не понятно почему?

Вставьте в пост

<script>alert("Ku-ku")</script>


и сразу улидите, запрещен или нет.
[User Picture Icon]
From:krimsky
Date:Май, 28, 2009 14:32 (UTC)
(Link)
Уже вставлял, вижу, что не работает. Может умельцы знают способ.
[User Picture Icon]
From:romanet
Date:Май, 28, 2009 14:29 (UTC)
(Link)
Запрещены, разве не понятно почему?

Вставьте в пост

<script>alert("Ku-ku")</script>


и сразу улидите, запрещен или нет.
[User Picture Icon]
From:krimsky
Date:Май, 28, 2009 14:33 (UTC)
(Link)
Уже вставлял, вижу, что не работает. Может умельцы знают способ.
Мне похуй почему, в других блогах они разрешены, там этот сервис успешно работает.
[User Picture Icon]
From:tarlog
Date:Май, 28, 2009 17:04 (UTC)
(Link)
Поверьте, вам совсем не похуй почему...
Значит уровень security в других блогах намного ниже.
[User Picture Icon]
From:krimsky
Date:Май, 28, 2009 17:27 (UTC)
(Link)
Почему мне не похуй?
Вашему феноменальному таланту сделать логическое заключение можно лишь позавидовать.
Флеш до недавнего времени тоже постить нельзя было. Придумали тэг и ничего, security не рухнуло.
[User Picture Icon]
From:tarlog
Date:Май, 28, 2009 17:46 (UTC)
(Link)
Причем тут тэг? Вы вобще имеете понятие о чем говорите?
Сделайте поиск на "cross site scripting" и просветитесь для начала.
[User Picture Icon]
From:krimsky
Date:Май, 28, 2009 17:48 (UTC)
(Link)
При тoм, что раньше нельзя было, а теперь можно.
Нет, что Вы, конечно не имею.
Спасибо, обязательно.
[User Picture Icon]
From:tarlog
Date:Май, 28, 2009 18:07 (UTC)
(Link)
Насколько я знаю из флэша нет доступа к кукис, а из жабаскрипта есть и никто это отменять не будет.
А теперь вопрос: вот вы мне нахамили, вы действительно хотите, что-бы в ответ я написал скрипт, который сотрет весь ваш журнал? Причем это произойдет так быстро, что-вы и не заметите, а свой коммент я потом сотру, так что никто даже не узнает как именно это произошло.
Я себе представляю во что превратятся дискуссии в ЖЖ.
[User Picture Icon]
From:krimsky
Date:Май, 28, 2009 18:18 (UTC)
(Link)
Флэш нельзя было вставлять в ЖЖ именно из соображений безопасности. Об их нецелесообразности можете подискутировать с их сапортом.
В других блогах скрипты разрешены и массового уничтожения журналов там не наблюдается.
Я Вам не хамил (типа испугался)
[User Picture Icon]
From:tarlog
Date:Май, 28, 2009 18:30 (UTC)
(Link)
Еще раз: я не знаю, что происходит в других блогах (за исключением блоггера, там javascript открыт в постах, но закрыт в комментах; но там нет понятия френдлент и сообществ, поэтому они и могут позволить иметь скрипт в постах), но разрешение javascript существенно снижает безопасность сервиса.

Если вы прочитаете мой пост/коммент со скриптом в сообществе или в ленте, это значит я могу сделать от вашего имени в ЖЖ что угодно. Т.е. вообще что угодно,: все то что можете сделать вы, могу сделать и я. От вашего имени. Собственно это вы и сделаете, только вы об этом не узнаете, или узнаете, но будет поздно.
А теперь вопрос: вы этого хотите?
[User Picture Icon]
From:krimsky
Date:Май, 28, 2009 18:37 (UTC)
(Link)
А теперь ответ - не хочу.
Я не разбираюсь в деталях (иначе не задавл бы тут тупых вопросов), но полагаю, что также как lj-embed решил проблему флеша в ЖЖ, можно придумать что-то и со скриптами.
Обьяснение про ленту и сообщества приблизило меня к пониманию проблемы. Спасибо.
[User Picture Icon]
From:ahitech
Date:Май, 28, 2009 23:00 (UTC)
(Link)
Нельзя ничего придумать. JavaScript работает не в Sandbox, у него доступ непосредственно к окружению браузера. У JS будет доступ ко всему, что сохранено в браузере: все пароли, кукизы, сохранённые данные, плюс параметры самой программы. Никакие защиты придумать нельзя: автоматическая проверка правильности и безопасности работы программной функции по определению невозможна.
[User Picture Icon]
From:krimsky
Date:Май, 29, 2009 08:31 (UTC)
(Link)
Ясно. А в других блогах там сидят тупые и не понимают этого? Создаются ведь целые сервисы под эту функциональность.
[User Picture Icon]
From:ahitech
Date:Май, 29, 2009 21:47 (UTC)
(Link)
Тупые или нет - это вопрос отдельный. По мне, так Интернет должен быть простым: серый фон, чёрный текст, и статичные картинки, если необходимо что-то проиллюстрировать. Всё остальное от лукавого. JavaScript`ы, анимашки и Флэш в том числе. :)
[User Picture Icon]
From:krimsky
Date:Май, 29, 2009 23:55 (UTC)
(Link)
Наоборот, "Интернет по Вам" как раз вопрос отдельный, пост про скрипты в ЖЖ. :-)
(Оставить комментарий)
Top of Page Разработано LiveJournal.com