-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
maaboo
Новичок
А что - наконец-то появилась вещь без уязвимостей?Автор оригинала: Wicked
maaboo
а какие у XML уязвимости?
-~{}~ 24.01.07 12:42:
Означает ли данное высказывание, что, если, я к примеру, разработчик системы, базирующейся на AJAX, то хватит только позаботиться о безопасности PHP?Автор оригинала: alekciy
Видимо хранимые в них аккаунты с пасом к админ панели.
-~{}~ 22.01.07 22:07:
Об безопасности AJAX думают создатели браузеров которые пишут интерпретатор JavaScript кода. В остальное безопасность поддерживается на стороне сервера и здесь уже читам статья по безопасности PHP.
alekciy
Новичок
Эт означает, что нужно позаботаться о безопасности связки JS+PHP, т.е. движка в целом. На интерпретатор JS кода в браузере в плане безопасности ты повлиять не можешь. Но если ты через JS передает в открытую авторизационные данные, то нужно понимать, что их могут перехватить.
В принципе здесь нужно заботиться о безопасности так же, как и на обычных сайтах где через JS присылаются какие-то данные в PHP скрипт которые он и должен проверять. Ни чего нового: проверка присланых данных на соответсвие формату, пересылка хэшей паролей, а не сами пасы, обработка неформатных данных, выдача сообщений об ошибочных данных при неформате данные и т.д.
maaboo
Новичок
Нового может и ничего, но хотелось бы что-то вроде такого:
http://www.whitehatsec.com/home/resources/articles/files/myth_busting_ajax_insecurity.html
inTox
вёбных дел мастер
Мои пять копеек:
1. Как уже говорили интересен обзор-сравнение фреймворков (prototype, sript.ocul.us, jQuery) , но не огульно, а по критериям. Например (что вот прямо с ходу вспомню):
- простота, доступность, интегрируемость
- кроссбраузерность
- документация (наличие, качество, актуальность)
- распространенность, живость (не заброшен ли проект, как быстро появляются обновления, фиксы, много ли людей используют)
- качество реализации (качество, понятность JS кода)
- работа в синхроне-асинхроне (что позволяет, чего не позволяет)
- размер библиотеки (местами очень критичный параметр)
- оценка интерфейса (какие методы управления передачей данных, обработки параметров, управления кешем заявлены\реализованы)
- специфические особенности (например возможность включить принудительный антикеш добавляя рандом к параметрам)
- доступные методы (XmlHttpRequest, script, iframe - что-то одно или часть, или все сразу)
- связи с другими программными продуктами, cms
- парсинг ответа (xml, json, ...)
- наличие\отсутствие серверной части, ее анализ
В идеале хотелось бы увидеть сводную табличку в баллах\попугаях, или что-то такое, что позволило бы быстро сориентироваться, если лень\нет возможности самому писать низкий уровень.
2. Автоматизация тестирования приложений на AJAX: selenium, unit-test. Поясню: задача тестирования функционала, упирающегося в асинхронную передачу данных весьма нетривиальна. Знаю по собственному опыту разработки библиотеки для http://lenta.yandex.ru
3. Требования минимум к библиотеке, реализующей сферический аякс в условном вакууме. Что нужно, что устарело, чего хочется...
4. Философские вопросы: место аякса в вебдваноле, современном вебе, признаки целесообразности(нецелесообразности) его использования.
-~{}~ 25.01.07 14:57:
вообще на самом деле не совсем понятно на какой уровень рассчитан мастер класс. Потому что в рамках данной темы можно обсуждать например написание кроссбраузерного XSL'я предназначенного для обработки и фильтрации респонса...
1. Как уже говорили интересен обзор-сравнение фреймворков (prototype, sript.ocul.us, jQuery) , но не огульно, а по критериям. Например (что вот прямо с ходу вспомню):
- простота, доступность, интегрируемость
- кроссбраузерность
- документация (наличие, качество, актуальность)
- распространенность, живость (не заброшен ли проект, как быстро появляются обновления, фиксы, много ли людей используют)
- качество реализации (качество, понятность JS кода)
- работа в синхроне-асинхроне (что позволяет, чего не позволяет)
- размер библиотеки (местами очень критичный параметр)
- оценка интерфейса (какие методы управления передачей данных, обработки параметров, управления кешем заявлены\реализованы)
- специфические особенности (например возможность включить принудительный антикеш добавляя рандом к параметрам)
- доступные методы (XmlHttpRequest, script, iframe - что-то одно или часть, или все сразу)
- связи с другими программными продуктами, cms
- парсинг ответа (xml, json, ...)
- наличие\отсутствие серверной части, ее анализ
В идеале хотелось бы увидеть сводную табличку в баллах\попугаях, или что-то такое, что позволило бы быстро сориентироваться, если лень\нет возможности самому писать низкий уровень.
2. Автоматизация тестирования приложений на AJAX: selenium, unit-test. Поясню: задача тестирования функционала, упирающегося в асинхронную передачу данных весьма нетривиальна. Знаю по собственному опыту разработки библиотеки для http://lenta.yandex.ru
3. Требования минимум к библиотеке, реализующей сферический аякс в условном вакууме. Что нужно, что устарело, чего хочется...
4. Философские вопросы: место аякса в вебдваноле, современном вебе, признаки целесообразности(нецелесообразности) его использования.
-~{}~ 25.01.07 14:57:
вообще на самом деле не совсем понятно на какой уровень рассчитан мастер класс. Потому что в рамках данной темы можно обсуждать например написание кроссбраузерного XSL'я предназначенного для обработки и фильтрации респонса...
kdk
TeaM PHPClub
С 16 февраля открыта регистрация на мастер-класс "Секреты AJAX (Программирование под Web 2.0)". Мастер-класс посвящен основным аспектам создания приложения на AJAX/JS и инструментарию разработчика под WEB 2.0.
Подробности тут: http://phpcenter.ru/ajax.html
Подробности тут: http://phpcenter.ru/ajax.html