Телеграмм чат группы websec

Котаны, я вброшу, пожалуй.

Никто не изучал вопросы защиты origin-специфичнвх хранилищ от браузерных плагинов? :)

03:51пожаловаться #1

JD

Котаны, я вброшу, пожалуй.

Никто не изучал вопросы защиты origin-специфичнвх хранилищ от браузерных плагинов? :)

насколько я помню, расширение хрома может вставить свой код на страницу и выполнить его в контексте страницы. Поэтому и куки, и локалсторадж не варик (если речь о них)

04:00пожаловаться #2

VR

John Doe

насколько я помню, расширение хрома может вставить свой код на страницу и выполнить его в контексте страницы. Поэтому и куки, и локалсторадж не варик (если речь о них)

Ага :)

11:40пожаловаться #3

VR

Хотя в некоторых случаях варик, с другой стороны. Самый простой пример - можно завести indexeddb, и дропать его при любых неожиданных мутациях dom :)

13:11пожаловаться #4

UT

Unexpected Token in WebSec

Хотя в некоторых случаях варик, с другой стороны. Самый простой пример - можно завести indexeddb, и дропать его при любых неожиданных мутациях dom :)

Помоему немного параноидально. Хотя, защиты мало не бывает.

13:12пожаловаться #5

VR

Можно и хуже. Я на этот вопрос убил 4 месяца и имхо, в современных браузерах есть защита для этого, хотя и крайне неочевидная

13:13пожаловаться #6

D

Dika in WebSec

у браузерных расширений есть доступ практически ко всему

13:14пожаловаться #7

VR

Ключевое слово "практически" :)

13:15пожаловаться #8

JD

Хотя в некоторых случаях варик, с другой стороны. Самый простой пример - можно завести indexeddb, и дропать его при любых неожиданных мутациях dom :)

браузерные скрипты можно запустить раньше, чем родные со страницы. ещё даже в userjs такое было.

13:34пожаловаться #9

VR

:) есть тип скриптов, работающих в данном origin, которые запускаются раньше даже плагинных инъекций

13:36пожаловаться #10

JD

:) есть тип скриптов, работающих в данном origin, которые запускаются раньше даже плагинных инъекций

document_start срабатывает перед тем как document.readyState установится в interactive. На этой стадии ни head, ни body не существуют. Не понимаю как можно ещё раньше что то запустить.

14:17пожаловаться #11

UT

Unexpected Token in WebSec

John Doe

document_start срабатывает перед тем как document.readyState установится в interactive. На этой стадии ни head, ни body не существуют. Не понимаю как можно ещё раньше что то запустить.

readystatechange?

14:17пожаловаться #12

UT

Unexpected Token in WebSec

Самым первым?

14:17пожаловаться #13

JD

https://stackoverflow.com/a/28188390/1556249

Stack Overflow

Chrome extension set to `run_at` `document_start` is running too fast?

EDIT: Something was wrong with my Chrome browser and creating a conflict with my script, a full reinstall eliminated whatever the problem source was. If I happen to find out what was causing it I w...

14:18пожаловаться #14

VR

Нет, он прав, document_start отрабатывает раньше всего

14:18пожаловаться #15

VR

За исключением ряда типов страниц, на которых он физически не способен сработать

14:18пожаловаться #16

VR

Но нет, есть скрипт, который отрабатывает ещё до document_start

14:19пожаловаться #17

VR

Я, пожалуй, поинтригую вас и не буду ответов давать, а то че-то чат сонный какой-то, может проснётесь хоть. Мне кажется, это интересная разминка для мозгов

14:20пожаловаться #18

JD

Я, пожалуй, поинтригую вас и не буду ответов давать, а то че-то чат сонный какой-то, может проснётесь хоть. Мне кажется, это интересная разминка для мозгов

<html>
<script> alert(1);</script>
<head>

или сразу после DOCTYPE. Оно? Но что-то я сомневаюсь.

14:28пожаловаться #19

VR

нет :)