В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

WebSec

115 membersпожаловаться на группу
2019 September 09

M

MaxGraey in WebSec
Никита Сковорода
@chicoxyzzy ну в общем все на вопрос «как мне вставить свой жс на страницу» говорят «юзайте preload»
но preload это огромная дырень
Почему? Он же как раз используется в комбинации с nodeIntegration: false,  nodeIntegrationInWorker: false, enableRemoteModule: false и allowRunningInsecureContent: false + contextIsolation + webSecurity + CSP
источник
23:33пожаловаться#1

НС

Никита Сковорода in WebSec
MaxGraey
Почему? Он же как раз используется в комбинации с nodeIntegration: false,  nodeIntegrationInWorker: false, enableRemoteModule: false и allowRunningInsecureContent: false + contextIsolation + webSecurity + CSP
Покажи пример?
источник
23:34пожаловаться#2

ҪҸ

Ҫѐҏӗѫӑ Ҹҋ 🤖 in WebSec
там в какой-то из версий, кстати, писали, ща
источник
23:34пожаловаться#3

M

MaxGraey in WebSec
https://electronjs.org/docs/tutorial/security
electronjs.org
Security, Native Capabilities, and Your Responsibility | Electron
⚠️ Under no circumstances should you load and execute remote code with
Node.js integration enabled. Instead, use only local files (packaged together
with your application) to execute Node.js code. To display remote content, use
the  tag or BrowserView, make sure
to disable the nodeIntegration and enable contextIsolation.
источник
23:34пожаловаться#4

НС

Никита Сковорода in WebSec
MaxGraey это я видел
я имею ввиду пример готового года
источник
23:35пожаловаться#5

M

MaxGraey in WebSec
Никита Сковорода
MaxGraey это я видел
я имею ввиду пример готового года
А ну, у меня нету)
источник
23:35пожаловаться#6

НС

Никита Сковорода in WebSec
Без contextIsolation всё начинает гореть, а он несколько ограничивает что вообще можно сделать прелоудом и его чёт не включают некоторые. плюс он до сих пор экспериментальный, вроде
источник
23:36пожаловаться#7

НС

Никита Сковорода in WebSec
https://doyensec.com/resources/Asia-19-Carettoni-Preloading-Insecurity-In-Your-Electron.pdf — например
источник
23:36пожаловаться#8

НС

Никита Сковорода in WebSec
https://speakerdeck.com/masatokinugawa/electron-abusing-the-lack-of-context-isolation-curecon-en — ещё
Speaker Deck
Electron: Abusing the lack of context isolation - CureCon(en)
This is the slides for CureCon which was held in Berlin
источник
23:36пожаловаться#9

НС

Никита Сковорода in WebSec
у меня под рукой пачка таких
источник
23:37пожаловаться#10
2019 September 18

НС

Никита Сковорода in WebSec
https://thehackernews.com/2019/09/phpmyadmin-csrf-exploit.html
The Hacker News
Warning: Researcher Drops phpMyAdmin Zero-Day Affecting All Versions
Researcher publishes proof-of-concept for an unpatched zero-day vulnerability in the latest version of phpMyAdmin.
источник
19:42пожаловаться#11

НС

Никита Сковорода in WebSec
Кто-то им пользуется ещё?
источник
19:42пожаловаться#12

НС

Никита Сковорода in WebSec
(там csrf, кому лень ходить по ссылке, и довольно непоганый, ничего интересного)
источник
19:43пожаловаться#13
2019 September 20

НС

Никита Сковорода in WebSec
Что там за проблема с iOS 13 – неясно пока?
источник
08:51пожаловаться#14

НС

Никита Сковорода in WebSec
Говорят, до конца месяца будет 13.1, 13 DoD не рекомендует, почему — пока неясно, вроде.
источник
09:29пожаловаться#15

ҪҸ

Ҫѐҏӗѫӑ Ҹҋ 🤖 in WebSec
бета 13.1 уже есть
источник
09:29пожаловаться#16

AK

Alex Kanunnikov in WebSec
Только обновил SE`шку
источник
09:30пожаловаться#17

НС

Никита Сковорода in WebSec
Ҫѐҏӗѫӑ Ҹҋ 🤖
бета 13.1 уже есть
Да.
источник
09:30пожаловаться#18

НС

Никита Сковорода in WebSec
Что пофиксили — неясно?
источник
09:30пожаловаться#19

НС

Никита Сковорода in WebSec
Там на самом деле «known functional issues that may break enterprise services»?
источник
09:31пожаловаться#20