Názor k článku Bezpečnostní střípky: EU přichází s návrhy týkajícími se strategie počítačové bezpečnosti od Adobe mající rád čím dál méně - Zdravím, Narazil jsem na jednu věc, která mne zujala...

  • Článek je starý, nové názory již nelze přidávat.
  • 15. 2. 2013 15:10

    Adobe mající rád čím dál méně (neregistrovaný)

    Zdravím,

    Narazil jsem na jednu věc, která mne zujala a na webu není zřejmě vůbec probírána (nenašel jsem). Jedná se - pro mne - o podobnou záhadnou věc (hlavně neřešenou) jako je spuštění ActiveX Flash Playeru (specifickým příkazem) i tehdy když jsou AvtiveX prvky blokovány browserem - Microsoft to neřeší, i když jsem doposud zneužití neviděl. Metoda možná využívá nějakého neveřejného "standardu". Spojitost s HTML5 vůbec nevylučuji, ale momentálně nemám nervy po důvodu pátrat (opět zřejmě zbůhdarma).

    Vo co go:
    Browser (IE9) je nastaven tak aby uživatel musel potvrdit změnu režimu zabezpečený/ne­zabezpečený (oboustraně). Normálně, pokud se změnou nesouhlasíte, načítání webu je zastaveno a akce zrušena.

    Na zabezpečeném webu Adobe (https://www.adobe.com/) vyberte nějaký zabezpečený odkaz, například Adobe Reader (https://www.adobe.com/go/EN_US-H-GET-READER), ten se následně pokusí vás přesměrovat na nezabezpečený web http://get.adobe.com/reader/?promoid=BUIGO a udělá to i tehdy když bezpečnostním dialogem IE9 akci přesměrování zkusíte zrušit.

    Tohle vše se děje jak s povoleným, tak zakázaným JavaScriptem.
    Pokud není JS povolen a příkaz/adresu zadáte přímo (nekliknete na odkaz na webu) přesměrování se neuskuteční. Pokud je JS povolen uskuteční se vždy.

    Jak to funguje? Je možné aby browseru žádajícímu zabezpečnou stránku byla serverem předkládána nezabezpečená "chybová" stránka? Funguje vám to podobně blbě i v jiných browserech?