Személyes információk RSS-ben

Hojtsy Gábor · 2005. Júl. 16. (Szo), 11.40

Naponta látjuk, hogy az RSS minden területre betör, a Microsoft minden szinten támogatni kívánja a szindikáció lehetőségét, és ez már önmagában sokat jelent a terület számára. A biztonság kérdéseire azonban még nincsenek kész válaszok, akkor sem, ha csak arra gondolunk, hogy valamilyen saját célra készült, mások számára nem biztosított csatornát szeretnénk kialakítani. Ha mi olvasni tudjuk a csatorna tartalmát, akkor ugyanis bárki más is megteheti.

Az XML.com-on nemrég megjelent cikkében Joe Gregorio egy lehetséges megoldást ad a problémára a Blowfish titkosítást segítségül hívva. Alapfeltevése, hogy webes RSS olvasóban szeretné elérni a titkosított tartalmakat, de nem kívánja megadni a visszafejtéshez szükséges kulcsokat a szolgáltatónak. Ugyanez az indok ejti ki a felhasználó és jelszó védelem mögé helyezett csatornák használatát a lehetséges megoldások köréből.

A megvalósításban segítő kezet a Greasemonkey szkriptekben találta meg. Az alábbi struktúrát helyezi el az RSS <description> mező tartalmában, és JavaScript segítségével fejti vissza a titkosított tartalmat.


  <div class="encrypted blowfish">
     <p>The following data is encrypted. Please install
        the SecureSyndication Greasemonkey script to 
        view the encrypted content.
     </p>
     <div class="encdata">WORK:C7FDD...15C4AC0643B86</div>
  </div>

A Greasemonkey segítségével felhasználói szkriptként futtatható dekódolója bár még nem tökéletes, képes a dekódolási módot nem ismerő kliensek számára megadott információt elhagyni, és a privát szöveget visszakódolni. Bár a megoldás csak böngészőből használható, jól mutatja, hogy milyen innovációkat tesznek lehetővé a kliens oldali kiterjesztési módszerek.

■

csirip

Nem biztonságos!

Hojtsy Gábor · 2005. Júl. 19. (K), 21.37

A Greasblogon jegyzik meg, hogy ez a módszer önmagában nem biztonságos abban az értelemben, hogy rosszindulatú webhelyek ki tudják deríteni a DOM alapján, hogy mi a privát kulcsunk, az pedig nem túl kellemes. Úgyhogy csak óvatosan.

A hozzászóláshoz regisztráció és belépés szükséges
új téma

Friss blogmarkok

Web Akadálymentesítési Útmutató (WCAG) 2.1 – nyilvános munkaterv – Megjelent a WCAG (Web Akadálymentesítési Útmutató) 2.1 nyilvános munkaterv (0)
MongoDB Apocalypse Is Here as Ransom Attacks Hit 10,000 Servers – Több tízezer védtelen MongoDB szerverre csaptak le hackerek (2)
12 Signs You’re Working in a Feature Factory – A cél nélküli funkciógyártás néhány tünete (0)
Translatable, custom dates in Twig templates of Drupal 8 – Saját dátumok megjelenítése, fordíthatóan a Drupal 8 smink rétegével dolgozva (0)
NativeScript – Cross-Platform Native Development with Javascript – Fejlesszünk natív mobilalkalmazást JavaScripttel (0)
GitHub Security Update: Reused password attack – Érdemes bekapcsolni a kétfaktoros azonosítást, ha a GitHub jelszavunkat más oldalakon is újra felhasználtuk (17)
UX Design könyv – Hogyan tervezz felhasználóbarát és szerethető alkalmazásokat? (0)
Introducing unlimited private repositories – Megváltozik a GitHub díjszabása: minden előfizetéshez korlátlan számú privát repository jár (0)
Drupal 8 Twig: add custom CSS classes to menus (based on menu name) – Saját elképzeléseink szerinti CSS osztályok (automatizált) hozzáadása a Drupal 8 menüihez (0)

tovább»

december 2024
H	K	Sze	Cs	P	Szo	V
25	26	27	28	29	30	1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31	1	2	3	4	5

december 2024

Sze

Szo

Weblabor

Keresés