[Из песочницы] Защита ajax-приложения от Cross Site Request атак (CSRF)
2012-05-28 09:33:49
Совсем недавно у меня появилась задача защитить web-приложение полностью построенное на ajax от CSRF ...
+ развернуть текст сохранённая копия
Совсем недавно у меня появилась задача защитить web-приложение полностью построенное на ajax от CSRF-атак.
Каков же механизм такой атаки? Суть заключается в выполнении запроса с другого сайта под авторизационными данными пользователя. Например, у нас есть действие удаления своего аккаунта example.com/login/dropme. Если защиты от CSRF атаки нет, мы можем на нужном нам сайте разместить тег:
<img src="http://example.com/login/dropme">
Сразу после того как пользователь зайдет на приготовленную нами страницу и подгрузит содержимое img, его аккаунт на example.com будет удален. О защите от этого я расскажу под катом.
Читать дальше →
Тэги:
ajax,
csrf,
jquery,
php,
token,
безопасность,
информационный
Меню навигации в стиле «Аккордеон» (CSS3 + jQuery)
2012-05-23 23:53:06
В очередной раз, хочу обратить ваш не затуманенный взор на интересный способ создания меню навигации ...
+ развернуть текст сохранённая копия
В очередной раз, хочу обратить ваш не затуманенный взор на интересный способ создания меню навигации в стиле «аккордеон». Этот стиль навигационного меню довольно популярен и широко используется в организации структуры сайтов. В первую очередь «аккордеон» привлекателен своей компактностью, что позволяет с легкостью встроить блок меню в боковую панель и прописать столько пунктов, сколько душе угодно. [...]
Тэги:
css,
html/css,
jquery,
аккордеон,
меню
[Перевод] Как создать видео-проигрыватель на JQuery, HTML5 и CSS3
2012-05-17 13:03:46
В этом уроке мы ...
+ развернуть текст сохранённая копия
В этом уроке мы создадим видеоплеер из набора элементов пользовательского интерфейса «Impressionist UI» Владимира Кудинова. Для оформления мы будем использовать CSS3, а для реализации функциональности —
MediaElement.js.
MediaElement.js это HTML5 аудио и видео плеер, который также работает в старых браузерах имитируя MediaElement HTML5 API с помощью Flash и Silverlight.
ДЕМО
Исходные файлы
Читать дальше →
Тэги:
css,
css3,
html5,
jquery,
веб-разработка
Замена console.log для кроссбраузерной отладки
2012-05-16 00:35:58
Отладка — неизбежный и зачастую очень длительный этап разработки любого приложения. Клиентская веб- ...
+ развернуть текст сохранённая копия
Отладка — неизбежный и зачастую очень длительный этап разработки любого приложения. Клиентская веб-разработка в этом смысле не исключение, более того, здесь этот вопрос стоит особенно остро. Если при отладке backend’а область действий программиста ограничена инструментом разработки, то в frontend’е задачу отладки осложняют многочисленные внешние факторы — браузеры. С их многообразием и различиями приходится волей-неволей считаться любому веб-разработчику. Об этом и пойдет речь далее.
Данная статья не претендует на оригинальность. Вполне возможно, что что-то подобное уже было написано ранее кем-то другим. Единственной целью при ее написании было желание автора поделиться своим опытом в отладке JavaScript. Автор уважает мнения других хабрапользователей и никому не навязывает свою точку зрения.
Проблема кроссбраузерности в отладке уже неоднократно рассматривалась на Хабре (1, 2, 3 и др.). Но к сожалению, во всех статьях, ранее освещавших этот вопрос, применялся один и тот же подход к его решению: использование инструментов отладки, специфичных для каждого браузера. Конечно, никто еще не отменял console.log — простой, и в некотором смысле кроссбраузерный, инструмент, хорошо помогающий в отладке. Но его применение опять-таки ограничено наличием в браузере средств отладки. Особенно это касается мобильных устройств, в которых получить доступ к средствам отладки не так просто, а иногда и вовсе невозможно. Читать дальше →
Тэги:
console.log,
javascript,
jquery,
веб-разработка,
кроссбраузерная,
кроссбраузерность,
отладка
[Из песочницы] Простой сканер внедрения кода на PHP
2012-05-13 16:21:02
Современные хакеры редко
“дефейсят” взломанные сайты, как правило, внедряют сторонний код в ...
+ развернуть текст сохранённая копия
Современные хакеры редко “дефейсят” взломанные сайты, как правило, внедряют сторонний код в скрипты для осуществления дальнейших зловредных действий.
Как часто вы тратили часы, выискивая код, внедрённый в ваши скрипты, после атаки?
Некоторое время назад меня привлекли к администрированию десяти сайтов, расположенных на одном виртуальном хостинге. Сайты крутились на “полуразложившихся” движках, написанных в 2000-2003 годах. Сайты постоянно падали под натиском “скрипт-кидди” и изобиловали внедрёнными “зловредами”. Мои задачи были тривиальны: поддержать работу сайтов, перенести на новые движки или залатать дыры в старых движках.
Всё предельно просто, но в полевых условиях было необходимо анализировать текущее состояние файлов, чтобы не дать возможности внедрить код ни в один из сайтов, так как получение доступа к одному сайту на виртуальном хостинге ставило под прицел и сайты, уже перенесённые на новые версии движков. Реагировать на внедрение кода нужно было молниеносно, а проверять файлы вручную при наличии тысяч файлов не представлялось возможным.
В процессе работы родилось очень простое решение, которым я и хочу поделиться. Хочу оговориться, что данное решение простое и не претендует на гениальность и полноту реализации, но надеюсь, что будет кому-то полезно.
Алгоритм работы сканера
Тэги:
injection,
jquery,
php,
автоматизация,
вирус
