ajax, api - 資安
By Adele
at 2007-12-21T10:13
at 2007-12-21T10:13
Table of Contents
新的技術帶來了方便
我有幾點想法 還請大家釋惑
當我在search box打搜尋字串時 譬如說google.com
馬上就有suggest跳出來 這應當是字串已經被紀錄下來
搜尋到還好 但如果是log in時
如果被另一個惡意script擷取密碼且不自覺 那不糟了
同樣的我也看一些網站的註冊
只要打字的同時 旁邊就直接告訴你說這個username是available的
譬如說這個jamendo.com
另外幾天前我看到flickr的公告
http://blog.flickr.com/en/2007/03/08/news-2007-3-08/
想知道說api本身是不是會有漏洞 相對開發時要注意什麼
使用時要注意什麼 還是說這只是單純phishing的問題
我想到幾點defense
1. 匿名瀏覽 隱藏 改變ip
2. 免洗id
3. 增加插件不允許 ajax存取
大家有什麼想法呢
謝謝
--
我有幾點想法 還請大家釋惑
當我在search box打搜尋字串時 譬如說google.com
馬上就有suggest跳出來 這應當是字串已經被紀錄下來
搜尋到還好 但如果是log in時
如果被另一個惡意script擷取密碼且不自覺 那不糟了
同樣的我也看一些網站的註冊
只要打字的同時 旁邊就直接告訴你說這個username是available的
譬如說這個jamendo.com
另外幾天前我看到flickr的公告
http://blog.flickr.com/en/2007/03/08/news-2007-3-08/
想知道說api本身是不是會有漏洞 相對開發時要注意什麼
使用時要注意什麼 還是說這只是單純phishing的問題
我想到幾點defense
1. 匿名瀏覽 隱藏 改變ip
2. 免洗id
3. 增加插件不允許 ajax存取
大家有什麼想法呢
謝謝
--
Tags:
資安
All Comments
Related Posts
請問如何破解XP下NTFS格式的加密檔?
By Bennie
at 2007-12-14T13:58
at 2007-12-14T13:58
snort執行時出現not using pcap_frames
By Candice
at 2007-12-12T17:11
at 2007-12-12T17:11
誰能幫我下載Stuffit檔案?
By Oliver
at 2007-12-10T19:30
at 2007-12-10T19:30
請問如何破解XP下NTFS格式的加密檔?
By Tristan Cohan
at 2007-12-07T13:58
at 2007-12-07T13:58
請問如何破解XP下NTFS格式的加密檔?
By Megan
at 2007-12-07T13:05
at 2007-12-07T13:05