התייעצות עם הציבור לגבי אבטחת מידע בדפי חסימה.
-
@magicode אם זה דומיין ייעודי זה מצויין, אבל אם זה אותו דומיין של נטפרי לא מפריע לך שמנהל קהילה יוכל לפעול ולדעת הכל על הלקוח?
-
https://security.stackexchange.com/
הם באמת מומחים -
@hagai-w אמר בהתייעצות עם הציבור לגבי אבטחת מידע בדפי חסימה.:
https://security.stackexchange.com/
הם באמת מומחיםאבל הם לא יכולים לרדת לפרטי המקרה
זה לא שאלה קלאסית -
@yzahn אמר בהתייעצות עם הציבור לגבי אבטחת מידע בדפי חסימה.:
והוספת הלוגו של נטפרי.
נראה שבוצע, או שכבר היה לפנ"כ?
-
@מ-פינחסי אמר בהתייעצות עם הציבור לגבי אבטחת מידע בדפי חסימה.:
שאלת תם, של מישהו שהוא "בור" בכל העניינים האלה:
למה זה טוב?
למה @magicode משקיע בזה זמן?
כדי שלמשל הקהילות יוכלו להשים את הוראות הפניה לקהילה במקום שאנשים יפנו לנטפרי ושם יפנו אותם לקהילה
-
@www כבר היה
-
@magicode אמר בהתייעצות עם הציבור לגבי אבטחת מידע בדפי חסימה.:
יש אפשרות להשים דפי חסימה לכתובת אישית.
ככה זה נראה.
https://netfree.link/block/external-url?url=https://send.magicode.me/הבעיה שכדי לחזק את האבטחה אנחנו משביתים את ה JAVASCRIPT וגם את האפשרות לשנות את הלינק של ה TOP.
אני שואל את הציבור האם מישהו יודע על בעיה לאפשר את זה.
אני מיצדי לא רואה בעיה לאפשר. אבל אני חושש שמה אני מפספס משהו.
אם מישהו יודע על בעיה אני ישמח שתכתבו על זה.
תודה.אני כן רואה בעיה לאפשר לשנות את האפשרות לשנות את הלינק של ה TOP. כי ככה יהיה אפשר לעשות פישינג.
הפיתרון פשוט, לשים את הדף הiframe על כל המסך, למעט סרגל עליון בראש הדף לכל הרוחב.
ולמנוע גישה מהiframe החוצה באמצעות Flags מתאימים.
https://www.w3schools.com/tags/att_iframe_sandbox.aspהסרגל העליון עם הלוגו של נטפרי ימנע את בעיית האבטחה (הפסיכולוגית) כאשר משתמש ינסה לשנות את תוכן הדף, מכיון שעדיין יופיע למעלה בצורה בולטת שמדובר בדף חסימה של נטפרי.
אפשר גם למנוע אינטראקציה של המשתמש עם הiframe באמצעות CSS
pointer-events: none;
(או כמובן בקוד js)עריכה: אני רואה ש @yzahn כבר פירט חלק מהדברים שכתבתי.
-
@zvizvi
קיים כבר sandbox
אבל אם נניח חנות אינטרנט רוצה לעשות דף חסימה שישלחו אליהם את הפניות של האתרים
הם לא יכולים לעשות.
כי ה sandbox חוסם את האפשרות להזריק JS. -
@magicode אמר בהתייעצות עם הציבור לגבי אבטחת מידע בדפי חסימה.:
@zvizvi
קיים כבר sandbox
אבל אם נניח חנות אינטרנט רוצה לעשות דף חסימה שישלחו אליהם את הפניות של האתרים
הם לא יכולים לעשות.
כי ה sandbox חוסם את האפשרות להזריק JS.אפשר לשלוט בזה, אתה יכול להגדיר שכן אפשר להזריק js, אבל אתה חוסם אינטראקציה עם הiframe מבחוץ.
לכן כל הjs שהוא מזריק יהיה סטטי להצגה בלבד, ללא יכולת של משתמש הקצה ללחוץ ולנווט בתוך הiframe. -
@zvizvi אמר בהתייעצות עם הציבור לגבי אבטחת מידע בדפי חסימה.:
@magicode אמר בהתייעצות עם הציבור לגבי אבטחת מידע בדפי חסימה.:
@zvizvi
קיים כבר sandbox
אבל אם נניח חנות אינטרנט רוצה לעשות דף חסימה שישלחו אליהם את הפניות של האתרים
הם לא יכולים לעשות.
כי ה sandbox חוסם את האפשרות להזריק JS.אפשר לשלוט בזה, אתה יכול להגדיר שכן אפשר להזריק js, אבל אתה חוסם אינטראקציה עם הiframe מבחוץ.
לכן כל הjs שהוא מזריק יהיה סטטי להצגה בלבד, ללא יכולת של משתמש הקצה ללחוץ ולנווט בתוך הiframe.לכאורה משהו כזה https://jsfiddle.net/r8vu9ht6/