|
|
Re: פורום אבטחת המידע - היום שאחרי (ניקוד: 1)
ע"י herouth ב 10/08/2004 - 12:14
קודם כל, אני מתנצלת אם הבכתי אותך במהלך ההרצאה.
לעניין: בתור מתכנתת web ותיקה. אני שמעתי משהו על Cross Site Scripting. על SQL Injection אני כבר יודעת ומטפלת בכך בקפדנות (אני מקווה). לגבי Cross Site Scripting, רציתי לדעת מה זה, אם זה באמת ישים בחיים האמיתיים, ואיך מטפלים בזה - כמו כל בעיה שקשורה באבטחת מידע, לא רק בתחום ה-web.
כך שאותי די פיספסת. קיבלתי מושג די היולי על Cross Site Scripting, כיוון שבניגוד ל-SQL Injection, לא הדגמת סקריפט קטלני, אלא רק סיפרת תיאורטית על שימושים בשבילו, שלא לגמרי היה ברור לי איך מבצעים אותם. יכול להיות שאם דף הלוגין - שכל מתכנת היה מסכים אתך שזה בערך מה שהוא עושה - היה כתוב מראש, היה לך יותר זמן להראות לנו סקריפטים מפחידים.
אני הייתי שמחה אם בהרצאה היית מגדיר כבר בהתחלה את המושגים שאתה עומד להדגים. כך הייתי יכולה יותר להתמקד על החלקים החשובים בהדגמה, ופחות על "האם סקריפט הלוגין הזה הוא באמת כמו שצריך?", כיוון שלא ידעתי מה המטרה שלך. אם היית אומר מלכתחילה "Cross Site Scripting זה ג'אווה סקריפט שהמשתמש מכניס לשדה קלט שאינו מיועד לכך, במטרה שטקסט הקלט יוצג ובעקבות כך הג'אווה סקריפט יופעל", היה הרבה יותר פשוט להבין לאן אתה חותר בהדגמה. ואז לא היה אכפת לי זה שאתה מראה איך בכלל משתמש יכול לשלוט בפלט, גם אם אני כבר יודעת איך.
|
|
|
|
