Názor k článku Postřehy z bezpečnosti: aktivně zneužívané zranitelnosti Apache od Filip Jirsák - Já jsem o zdroji nic nepsal. Nicméně pořád...

Já jsem o zdroji nic nepsal. Nicméně pořád nevím, k čemu je dobré kontrolovat cíl odkazu, když vás ten cíl může přesměrovat kamkoli jinam.

Jinak myšlenka „můžu klikat na jakýkoli odkaz“ je samozřejmě správná, protože uživatel nemá šanci rozeznat škodlivé odkazy. Od toho je prohlížeč, který funguje jako jeden velký sandbox a nesmí povolit žádné stránce, aby prováděla cokoli mimo ten úzce vymezený sandbox. Ty role jsou přesně vymezené – prohlížeč hlídá kód, uživatel hlídá obsah (tedy to, že komunikuje s tím, s kým chce komunikovat). Snahy to neustále míchat nikam nevedou.

Je to stejný nesmysl, jako rada „neklikat na žádné odkazy v e-mailu“.

Když bude v prohlížeči chyba, dejme tomu buffer overflow při parsování obrázku, žádná kontrola odkazů uživatelem nepomůže. I kdyby měl v hlavě databázi všech webových adres, což nemá ani Google, i kdyby neexistovalo žádné přesměrování – pořád bude mít útočník milion možností, jak nahrát svůj podvodný obrázek na nějaký z pohledu uživatele důvěryhodný web.