Sebastian Lekies

@slekies

Tech Lead - Web Application Security Scanning

Zurich, Switzerland
ಅಕ್ಟೋಬರ್ 2011 ಸಮಯದಲ್ಲಿ ಸೇರಿದ್ದಾರೆ
3 ಫೋಟೋಗಳು ಅಥವಾ ವೀಡಿಯೋಗಳು ಫೋಟೋಗಳು ಮತ್ತು ವೀಡಿಯೋಗಳು

ಟ್ವೀಟ್‌ಗಳು ಮತ್ತು ಪ್ರತಿಕ್ರಿಯೆಗಳು

@slekies ತಡೆಹಿಡಿಯಲಾಗಿದೆ

ನೀವು ಖಚಿತವಾಗಿಯೂ ಈ ಟ್ವೀಟ್‌ಗಳನ್ನು ನೋಡಲು ಬಯಸುವಿರಾ? ಟ್ವೀಟ್‌ಗಳನ್ನು ನೋಡುವುದು @slekies ಅವರನ್ನು ತಡೆತೆರವುಗೊಳಿಸುವುದಿಲ್ಲ.

  1. ಗೆ ಪ್ರತ್ಯುತ್ತರವಾಗಿ
    ಜನ 28

    legacy is not the point that I am trying to make. Twitter sucks for these discussions.

    1 reply
  2. ಗೆ ಪ್ರತ್ಯುತ್ತರವಾಗಿ
    ಜನ 28

    again:I am not saying we can't do this.I am not at all oposing the idea. Just saying we need to be careful

    1 reply
  3. ಜನ 28

    just wanted to add one data point to the discussion and not oppose the general idea.

  4. ಜನ 28

    and I am saying that not all ways will as seen with the many hacks due to innerHTML.

    1 reply
  5. ಗೆ ಪ್ರತ್ಯುತ್ತರವಾಗಿ
    ಜನ 28

    No, I am saying we should harden in a way that FWs play nicely with it.

    1 reply
  6. ಗೆ ಪ್ರತ್ಯುತ್ತರವಾಗಿ
    ಜನ 28

    yes, definetly. I am the last one to argue against hardening. Just brought up one important issue.

    1 reply
  7. ಜನ 28

    and it is not easy to fix ;-).

    3 replies
  8. ಗೆ ಪ್ರತ್ಯುತ್ತರವಾಗಿ
    ಜನ 28

    not only strict-dynamic, also unsafe-eval, which is required for most frameworks.

    1 reply
  9. ಜನ 28

    every single one is a CSP bypass btw

    1 reply
  10. ಜನ 28

    then we should choose a hardening way that will not lead to these hacks

    1 reply
  11. ಜನ 28

    we should look at them to understand why these hacks are in place.

    1 reply
  12. ಜನ 28

    I can show you dozens of examples where the current behavior of innerHTML led to hacks in libraries.

    3 replies
  13. ಗೆ ಪ್ರತ್ಯುತ್ತರವಾಗಿ
    ಜನ 28

    I am not saying that at all. Just saying we need to take this into account to not get it wrong.

    1 reply
  14. ಗೆ ಪ್ರತ್ಯುತ್ತರವಾಗಿ
    ಜನ 28

    I was thinking more about the default behavior. But if security is inconvenient, no one will adopt it.

    2 replies
  15. ಜನ 28

    these hacks are also not introduced against the devs intend, but for the opposite.

    1 reply 1 ಇಷ್ಟ
  16. ಗೆ ಪ್ರತ್ಯುತ್ತರವಾಗಿ
    ಜನ 28

    if the API does not fullfill the needs, devs will hack around it. Also innerHTML is not a safe, hardened API.

    1 reply 1 ಮರುಟ್ವೀಟಿಸುವಿಕೆ 1 ಇಷ್ಟ
  17. ಜನ 28

    I can show you a few PoCs next time we meet.

    1 reply
  18. ಜನ 28

    if you want to strengthen CSP allow scripts in innerHTML and libraries will not implement insecure code for not surprising devs.

    2 replies
  19. ಜನ 28

    that's why jquery and other libraries have magic html() methods to replace innerHTML with a function that also executes scripts.

    1 reply 1 ಇಷ್ಟ
  20. ಜನ 28

    devs expect that inner_HTML_ executes all of HTML and not just a subset.

    1 reply

@slekies ಅವರು ಇನ್ನೂ ಟ್ವೀಟ್ ಮಾಡಿಲ್ಲ.

ಲೋಡಿಂಗ್ ಸಮಯ ಸ್ವಲ್ಪ ತೆಗೆದುಕೊಳ್ಳುತ್ತಿರುವಂತೆನಿಸುತ್ತದೆ.

Twitter ಸಾಮರ್ಥ್ಯ ಮೀರಿರಬಹುದು ಅಥವಾ ಕ್ಷಣಿಕವಾದ ತೊಂದರೆಯನ್ನು ಅನುಭವಿಸುತ್ತಿರಬಹುದು. ಮತ್ತೆ ಪ್ರಯತ್ನಿಸಿ ಅಥವಾ ಹೆಚ್ಚಿನ ಮಾಹಿತಿಗೆ Twitter ಸ್ಥಿತಿಗೆ ಭೇಟಿ ನೀಡಿ.

    ಇದನ್ನೂ ಸಹ ನೀವು ಇಷ್ಟಪಡಬಹುದು

    ·