JavaScript / Безопасность.
Модификация кода ядра платформы
Модификация кода ядра платформы
Все что описано ниже касается только клиентской части реализованной на JavaScript.
Также предложенные решения реализовываются в рамках новой пока еще ЗАКРЫТОЙ версии картографического сервиса Открытый Город http://www.okarta.ru.
Приветствуется критика технического характера (например, пути обхода), но не критка в стиле "нафига это нужно".При разработке модуля подключения апплетов к некой платформе (назовем ее Hyper) появилась задача обеспечения безопасности, так как подключаемый апплет кроме пассивного блока данных (content) содержит и активный (code).
А в активном блоке невнимательный разработчик (злоумышленник) может обратиться к глобальному объекту window и получить доступ к переменным или важным методам ядра и сделать подмену, что в лучшем случае просто приведет к краху платформы (в пределах браузера конечно), а в худшем установка различных хуков не влияющих на работу системы, но перехватывающих персональные данные пользователя.
В дальнейшем ничего не подозревающий пользователь будет пользоваться гаджетом "Часы от Боба", который по тихому собирает о нем информацию, или рассылает спам по адресам из контакт листа.
Читать дальше =