Spoofing degli eventi inviati dal server

Naviga le tue risposte
1

Nella specifica per Eventi inviati dal server , si dice

Authors should check the origin attribute to ensure that messages are only accepted from domains that they expect to receive messages from. Otherwise, bugs in the author's message handling code could be exploited by hostile sites.

Come si potrebbero ricevere messaggi dai domini senza richiederlo?

Il fatto che gli eventi inviati dal server non siano costruiti su HTTP (TCP) non renderebbe impossibile?

    
posta sam 27.12.2014 - 23:15
fonte

1 risposta

2

Questa sezione della specifica si riferisce a Messaggistica tra documenti , non al server Eventi inviati. Sembra che html5rocks.com abbia citato erroneamente.

Hai ragione: se il listener SSE non è impostato per quel dominio nello script della pagina, non c'è alcuna minaccia.

    
risposta data 31.12.2014 - 15:31
fonte

Leggi altre domande sui tag

ClamAV ha rilevato CVE-2014-8449 in alcuni PDF. Come faccio a sapere se è un vero problema? Sicurezza del certificato quando si utilizza DNSSEC