https://www.opennet.ru/openforum/vsluhforumID3/106474.html В открытой платформе для организации электронной коммерции Magento (https://github.com/magento), которая занимает около 30% рынка платформ для создания интернет-магазинов (на базе Magento работает более 250 тысяч сайтов), выявлено (https://blog.sucuri.net/2016/01/security-advisory-stored-xss-in-magento.html) 20 уязвимостей (https://magento.com/security/patches/supee-7405). Проблемы уже устранены (https://magento.com/security/patches/magento-201-security-update) в выпусках Magento 1.9.2.3, 1.14.2.3 и 2.0.1.<br><br><br>Две XSS-проблемы помечены как критические. Первая проблема позволяет (https://blog.sucuri.net/2016/01/security-advisory-stored-xss-in-magento.html) при просмотре администратором параметров заказа отобразить произвольный JavaScript-код, добавленный через форму регистрации путём задания специально оформленного значения в поле с email (например, можно указать "&gt;&lt;script&gt;alert(1);&lt;/script&gt;"@mail.ru). Выполнив код в контексте интерфейса администратора атакующий может перехватить cookie с идентификатор https://www.opennet.ru/openforum/vsluhforumID3/106474.html#13 Wed, 27 Jan 2016 08:09:58 GMT Оу, представляю сколько малварей появится...<br> https://www.opennet.ru/openforum/vsluhforumID3/106474.html#12 Wed, 27 Jan 2016 03:24:30 GMT Учитывая, что WebAssembly уже на взлёте, и что это совместный проект мозиллы, гугла и майкрософта - ни у каких JWS/JTTP шансов вообще никаких, что весьма радует, так как избавляет от привязки к "единственно правильной" среде. А про вторую часть можно забыть уже сейчас - с транспортом никаких проблем нет, уже перелопатили, введя HTTP/2 и перед этим WebSockets - оба вполне приличны.<br> https://www.opennet.ru/openforum/vsluhforumID3/106474.html#11 Tue, 26 Jan 2016 22:05:07 GMT Если оно реально будет работать и реально будет обещать профит - все может оказаться не так незыблемо, как кажется. <br>Браузеров сейчас немного, и они постоянно ищут, чем бы выдвинуться (даже мелкомягкий), так что новый протокол вполне могут внедрить - сначала экспериментально, потом уверенно. <br>Сервер по юзер-агенту определит, что браузер уже современный, сделает редирект с http: на jws: - и армия пользователей начнет расти сама собой, без всякого активного участия с их стороны... <br>Сначала крупные порталы, для которых и процент пользователей - это масса, потом интранеты подхватят, банки-платежные системы, а там и в широкий мир пойдет.<br> https://www.opennet.ru/openforum/vsluhforumID3/106474.html#10 Tue, 26 Jan 2016 18:58:19 GMT Онотоле голова, рубит прямо в корень проблемы.<br> https://www.opennet.ru/openforum/vsluhforumID3/106474.html#9 Tue, 26 Jan 2016 15:48:11 GMT ну и сидите вдвоем на своем JWS/JTTP, фанатики.<br> https://www.opennet.ru/openforum/vsluhforumID3/106474.html#8 Tue, 26 Jan 2016 15:06:39 GMT HTML язык разметки, а не програмиирования. Попытки использования инструмента не по назначению ничем хорошим обычно не заканчиваются. И список web-технологий, только названия которых уже занимают больше А4 мелким шрифтом это подтверждает.<br><br>С решением согласен: если уж хочется динамического web-программирования, нужно создавать среду для этого. И лучше чтобы это было не WWW и не HTTP. Пусть это будет JWS (Java Web Script) и JTTP и открываться будет что-то типа jws://jttp.site.ru<br> https://www.opennet.ru/openforum/vsluhforumID3/106474.html#6 Tue, 26 Jan 2016 14:22:16 GMT Справедливости ради - тот факт, что разрабам приходится тратить своё время и следить за всей это хернёй является прямым недостатком html и отличным аргументом в пользу его замены на что-то более прогрессивное. <br> https://www.opennet.ru/openforum/vsluhforumID3/106474.html#5 Tue, 26 Jan 2016 12:41:56 GMT По-моему гораздо более интересный вопрос - как в здоровенной, распространённой и много лет существующей получилось, что что-то может быть введено без фильтрации и выведено без экранирования? По идее, такие вещи должны на полном автомате каким-то слоем реализовываться.<br> https://www.opennet.ru/openforum/vsluhforumID3/106474.html#4 Tue, 26 Jan 2016 12:08:11 GMT Потому что разработчики были так заняты темплейтами на XML, что совсем забыли что у них могут быть какие то там XSS и сессии.<br>