Piszę plugin / widget do zagnieżdżenia na stronie. Jakie daje to możliwości oddziaływania na stronę, na której zostanie zagnieżdżony? Czy można zdalnie uruchamiać kod? Czy można jakoś zaszyfrować kod tworzący lukę, żeby nie było widać jej na pierwszy rzut oka?
Co do kwestii moralnych, to plugin jest dla kontrahenta z kraju wyciągniętego z jakiejkolwiek jurysdykcji prawa i lubi naginać ustalone warunki, więc fajnie byłoby się zabezpieczyć.
1programmer napisał(a):
Piszę plugin / widget do zagnieżdżenia na stronie.
ActiveX wycofali, aplety Java zdeprecjonowali, Flasza skazali na damnatio memoriae. Pozostał JS a z tym jest ciężko
Jakie daje to możliwości oddziaływania na stronę, na której zostanie zagnieżdżony?
Możesz pokazywać na niej co chcesz.
Czy można zdalnie uruchamiać kod?
Mówimy o webie. Tu wszystko zdalnie uruchamia kod z niepotwierdzonych źródeł.
Czy można jakoś zaszyfrować kod tworzący lukę, żeby nie było widać jej na pierwszy rzut oka?
Emscripten i wasm twoim przyjacielem. Oczywiście w ramach wydajności rzecz jasna.
Co do kwestii moralnych, to plugin jest dla kontrahenta z kraju wyciągniętego z jakiejkolwiek jurysdykcji prawa i lubi naginać ustalone warunki, więc fajnie byłoby się zabezpieczyć.
Jak poszukasz po rodzinie i znajdziesz kogoś z niemieckobrzmiącym nazwiskiem to możesz próbować postarać się o paszport kraju który nie wydaje swoich.
Co do odpalania kodu zdalnie to w sumie nie jest to jakiś problem duży, mógłbyś tam zagnieździć jakiś HTTP call do API własnego, który zwracałby content w postaci text/javascript albo text/plain a potem wsadzać to w funkcje eval, która interpretuje argument jako kod wykonywalny JS ew. możesz stworzyć sobie dodatkowy element na stronie typu "div" lub dowolny inny i za pomocą metody .innerHTML wsadzać zawartość skryptu wraz z tagiem <script>.