Názor k článku Firefox 23 zvyšuje bezpečnost, Firefox 24 má zkrotit plug-iny od mc - Mohl by mi někdo vysvětlit v čem je...
-
mc (neregistrovaný)
Mohl by mi někdo vysvětlit v čem je zvýšena bezpečnost, když už například nyní nefunguje následující:
1. webová aplikace natažená přes https
2. uvedená aplikace pracuje se soukromými daty
3. uvedená aplikace také některá data (v JSON či XML) získává z veřejných zdrojů přes XMLHttpRequest a doplňuje tak pro uživatele soukromá dataFirefox (a ne jen on) zavedením CORS takovou aplikaci neumožňuje provozovat (až na obezličku JSONP či na http hlavičky origin, které to povolí). Nyní zavedením nemixovaní https s http uvedenou nemožnost posiluje (již nelze použít obezličku JSONP ani hlavičky Origin). Jediným řešením se tak již stává jen možnost, že aplikace musí všechny data tahat přes mateřský server, který pokud jde o data z jiných zdrojů dělá proxy. Jsem slepý, ale vidím jen komplikaci a žádné zvýšení bezpečnosti. Dokonce by se dalo přemýšlet o ponížení bezpečnosti mateřského serveru, který dělá proxy a pokud proxy není zcela dobře udělána.
Dále pokud se nepletu Firefox v případě mixování přes XMLHttpRequest vůbec žádnou bublinu s možností povolit nenabídne.
Navíc díky CORS je již nad síly Firefox pokud bod 1. ve scénáři změním tak, že webová aplikace bude natažena z lokálního souborového systému (tedy ne přes https).
Uvedené restrikce dle mne nesouvisí z bezpečností, ale s vytvářením komplikací pro webové aplikace, které sbírají na klientské straně data z různých zdrojů.
ČLÁNKY DO MAILU