Autor Zpráva
_es
Profil
Pri pokuse o spustenie kódu vo Firefoxe 6.0 v adresovom riadku javascript:alert(0); mi to píše v chybovej konzole chybu:
Chyba: uncaught exception: ReferenceError: alert is not defined
Pritom rovnaký kód bez problémov funguje z odkazu aj z bookmarkletu.
Nevie niekto, či sa jedná o nejakú chybu Firefoxu, alebo to je tak z nejakého dôvodu spravené naschvál, alebo je chyba u mňa...
Joker
Profil
_es:
StackOverflow:
It seems using javascript: and data: URLs (directly in the address bar) are currently not allowed
= Zdá se, že adresy javascript: a data: (přímo z adresního řádku) v současné době nejsou dovoleny
(v souvislosti s chybou 527530)
Mike8748
Profil
https://developer.mozilla.org/en/Firefox_6_for_developers
poslední bod u DOM

nicméně k dispozici je ScratchPad (kl. zkratka Shift+F4)
_es
Profil
Joker:
Zdá se, že adresy javascript: a data: (přímo z adresního řádku) v současné době nejsou dovoleny
Protokol javascript: povolený je, len to vyzerá, že taký kód nemá prístup k metódam DOM a prehliadača.
Joker
Profil
_es:
len to vyzerá, že taký kód nemá prístup k metódam DOM a prehliadača
Je to tak, viz Mike8748.
Chamurappi
Profil
Reaguji na Jokera:
Aha, tak oni to všichni dělají úmyslně kvůli hloupým uživatelům? To je škoda. Byl jsem zvyklý přes adresní řádek ledacos zkoušet (bez nutnosti spouštět něco složitějšího). Z hlediska neznalého pozorovatele jsem při tom vždy vypadal jako šaman, u nových prohlížečů vypadám jako vůl :-)

Pročítám si argumenty na Bugzille a moc se mi nelíbí. Neučinil bych stejné rozhodnutí. Za to, co se píše do adresního řádku, nese plnou odpovědnost uživatel.


Reaguji na Mika8748:
nicméně k dispozici je ScratchPad (kl. zkratka Shift+F4)
Takže všechny zákeřné sociálně inženýrské útoky, které nabádaly „vložte tento text do adresy“, stačí doplnit o „pokud to nejde, stiskněte Shift+F4 a vložte text tam“ :-)
Joker
Profil
Chamurappi:
To je škoda. Byl jsem zvyklý přes adresní řádek ledacos zkoušet
Mám z toho stejný pocit.
_es
Profil
Dá sa to aspoň nejako zrušiť v about:config? Nepodarilo sa mi prísť na to ani vyhľadať, či vôbec a ako sa to dá.

Chamurappi:
u nových prohlížečů vypadám jako vůl :-)
Ako zachránená obeť sociálneho inžiniera :-)

stačí doplnit o ‚pokud to nejde, stiskněte Shift+F4 a vložte text tam‘ :-)
To sa už viac podobá na nebezpečnú konzolu OS:-) Časom tam možno bude doplnená nejaká výrazná hláška o sociálnych inžinieroch alebo to bude dostupné až po odkliknutí uvedomenia si všetkých možných nebezpečenstiev.
Ešte je možné potenciálnej obeti poradiť, nech si stránku pridá medzi „Záložky“ - na bookmarklety našťastie obmedzenie neplatí - snáď sú dosť používané na to, aby u nich nenastalo nejaké obmedzenie.
margin
Profil *
_es:
Pritom rovnaký kód bez problémov funguje z odkazu aj z bookmarkletu.
Je to postavené na hlavu, chápal bych, kdyby tomu bylo naopak.
Nebo je to zakuklený marketingový tah, jak protlačit ScratchPad?
_es
Profil
margin:
Je to postavené na hlavu, chápal bych, kdyby tomu bylo naopak.
Bookmarklet slúži primárne na spustenie JS v kontexte stránky, adresový riadok slúži primárne na zadanie adresy, teda to určitý zmysel má. Útočníkovi stačí na vyčítanie informácii z aktuálnej stránky poradiť nejakú „stránku“ ktorá však nebude vo forme odkazu, ale obyčajného textu, zatiaľ čo vytvorenie JS odkazu diskusie a sociálne siete nepovoľujú.
Chamurappi
Profil
Reaguji na _es:
na bookmarklety našťastie obmedzenie neplatí
Ale podle toho Jokerova odkazu nějaká stejně zavedou, člověk bude muset explicitně povolovat.

To sa už viac podobá na nebezpečnú konzolu OS:-)
Vložení nesrozumitelného kousku textu do adresního řádku vypadá bezpečněji? Pokud uživatel aktivně spolupracuje s útočníkem, tak ho tato inovace stejně nezastaví.
_es
Profil
Chamurappi:
Vložení nesrozumitelného kousku textu do adresního řádku vypadá bezpečněji?
Niekto málo znalý môže čakať, že vloženie niečoho do adresného riadka spôsobí načítanie nejakej odlišnej stránky - ako pri protokole HTTP, nie modifikáciu stránky a zistenie všetkých informácií o stránke ako pri záškodníckom kóde v protokole javascript:
margin
Profil *
Muhele, to jsou věci, když nefunguje javascript:, budeme tam prát kód jako data:, než to nějaký chytrolín odhalí a další moula zakáže:
data:text/html,<script>alert(0);</script>
DoubleThink
Profil *
margin:
Jenže to otevře novou stránku, což je na nic.
margin
Profil *
DoubleThink:
Chytám se za hlavu, bohužel jsem testoval jen na čisté stránce, a přívalu radosti, že "to" funguje, jsem si to neuvědomil. Máš pravdu, načte se nová stránka.
Medvídek
Profil
Zvláštní je, že pokud si dám do lišty záložek odkaz
javascript:(function(){var%20script=document.createElement('script');script.src='http://mir.aculo.us/dom-monster/dommonster.js?'+Math.floor((+new%20Date)/(864e5));document.body.appendChild(script);})()

tak to funguje, pokud vložím přímo do adresního řádku tak ne.
_es
Profil
Chamurappi:
Takže všechny zákeřné sociálně inženýrské útoky, které nabádaly ‚vložte tento text do adresy‘, stačí doplnit o ‚pokud to nejde, stiskněte Shift+F4 a vložte text tam‘ :-)

Bohužiaľ došlo už aj na ochranu pred touto možnosťou. Nevie niekto, ako vypnúť túto „ochranu“? Po Ctrl+V mi to vypisuje v slovenskej verzii nejakú hlášku, z ktorej som akosi nepochopil, ako to vypnúť.

Už som na prišiel:
Treba tam napísať: 'povolit vkladanie'. Presne tak, ako to je - bez mäkčeňa.

stačí doplnit o ‚pokud to nejde, stiskněte Shift+F4 a vložte text tam‘ :-)
Teraz bude treba verzia: „Stlačte Shift+F4, napíšte tam 'povolit vkladanie' a vložte text tam“.

Vaše odpověď

Mohlo by se hodit

Nezapomeňte na odkaz na živou ukázku problému.

Odkud se sem odkazuje


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: