agregator rss
Sandboxed DOM API
Description
I finally sat down and started work on a sandboxed DOM API. Originally I was just going to develop a new framework because the DOM is messy but instead I decided it would be cool to have a safe simulated DOM instead and build a framework on top of that.
It isn’t complete yet and there’s still a lot of work to do but it’s working pretty good. I still need to run some tests on it and try to break it but I don’t have time at the moment as I need to do other stuff.
One of the problems making a DOM API is that IE doesn’t have setter support even in IE8 it doesn’t allow you to define setters on normal objects. Because I spend most of my time hacking stuff it was a fun challenge to make IE support setters on DOM objects and keep my sandboxed whitelists.
It’s quite complicated and quite ugly in parts but it works and I think it’s the only way to support legacy browsers like IE7.
How it worksI have to test for the various setter support including defineSetter, Object.defineProperty and revert to the legacy onpropertychange. Object.defineProperty works fine in IE8 when using a DOM object but I encountered problems when I needed to assign to a sandboxed normal object. Here it gets ugly, I had to create a DOM object for any styles used by a node, this way both Object.defineProperty and onpropertychange allow me to monitor any assignments to the fake style object.
var styles = document.createElement('span'); node.$style$ = styles; Object.defineProperty(node.$style$, '$'+cssProp+'$', {}); document.getElementById('styleObjs').appendChild(styles); node.$style$ = styles; node.$style$.onpropertychange = function(){}As you can see with the code sample above I have to append the fake style DOM object for onpropertychange otherwise it won’t be called on assignments.
You can see this working by using the following test code:-
document.getElementById('x').style.color='#ccc';So I proxy off all these functions and make the root node any HTML object, I use CSSReg and HTMLReg to sandbox each modification to a property. Finally where it got complicated was supporting events, currently I only support “onclick” as I’m still testing but what happens is because the code is already sandboxed I don’t need to perform a rewrite so I pass this to JSReg as it’s already been converted, I supply the “this” object as the HTML element this allows the triggered event to call “this” as the current element.
That’s it! I’ve donated the code to OWASP and it will be free to use in your projects, any help testing or suggestions are most welcome, enjoy the demo!
Oprogramowanie, które zabija
Czy rozrusznik serca można zdalnie przeprogramować tak, by wywołał migotanie komór serca u osoby, której go wszczepiono? Wygląda na to, że nie tylko rozruszniki serca ale także mnóstwo innych urządzeń medycznych jest praktycznie całkowicie pozbawione funkcji bezpieczeństwa.
Kategorie: Polskie RSS, Security
PARP: ruszył nabór wniosków na e-biznesy - Tygodnik Finansowy (komunikaty prasowe)
PARP: ruszył nabór wniosków na e-biznesy
Tygodnik Finansowy (komunikaty prasowe)
Wszyscy wnioskodawcy, zarówno ci, którzy mają bezpieczny podpis elektroniczny, jak i ci, którzy go nie mają, muszą wypełnić wniosek w generatorze wniosków. ...
i więcej »
Kategorie: Podpis elektroniczny
PARP: ruszył nabór wniosków na e-biznesy - Tygodnik Finansowy (komunikaty prasowe)
PARP: ruszył nabór wniosków na e-biznesy
Tygodnik Finansowy (komunikaty prasowe)
Wszyscy wnioskodawcy, zarówno ci, którzy mają bezpieczny podpis elektroniczny, jak i ci, którzy go nie mają, muszą wypełnić wniosek w generatorze wniosków. ...
i więcej »
Kategorie: Podpis elektroniczny
[News and Links] Re: A Comprehensive List of Useful Security Resources
Last update: 23 July 2010
Revision History: http://realsecurity.web.officelive.com/securityresources.aspx#revisionhistory
[News and Links] The China States of America
http://securitystreetknowledge.com/?p=139
[Full Disclosure] eset[dot]hk payment site vulnerable again.
http://isrtinkode.wordpress.com/2010/03/21/eset-nod32-hong-kong-hacked/
Tink0de and I took over esets hong kong server through this site, It was on the same server as a payment system I think.
Its vulnerable again... You would thing they would know better.
I haven't seen eset on this server yet, I think they have moved.....
hxxp://www.version-2.com/ipevo/product/details_exp.php?fn=1 and 1=2 union all select 1,2,load_file('/etc/passwd'),4,5,6--
Недостатня безпека технології ClickOnce від Microsoft
Виявлена можливість проведення MITM-атак при використанні технології ClickOnce від Microsoft.
Уразливі продукти: Microsoft Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.
Не заборонене встановлення непідписаних елементів.
- Microsoft ClickOnce MITM Vulnerabilities (деталі)
[News and Links] Computer hackers crack image archives
http://www.telegram.com/article/20100728/NEWS/7280342/1237
[XSS Info] Re: How to detect fiddler?
I heard css port scanners exist. Why do you want to detect it?
W piątek rusza nabór na dofinansowanie e-biznesu - Wyborcza.biz
W piątek rusza nabór na dofinansowanie e-biznesu
Wyborcza.biz
"Wszyscy wnioskodawcy, zarówno ci, którzy mają bezpieczny podpis elektroniczny, jak i ci, którzy go nie mają, muszą wypełnić wniosek w generatorze wniosków. ...
i więcej »
Kategorie: Podpis elektroniczny
День багів в WordPress 2
Анонсую проект День багів в WordPress 2 (Day of bugs in WordPress 2), який я проведу завтра. В якому я оприлюдню чимало цікавих уразливостей в WordPress, що я знайшов в 2007, 2009 та 2010 роках (і до яких вразливі різні версії движка).
Проект День багів в WordPress (Day of bugs in WordPress) я провів у грудні 2007 року і вже давно планував провести новий проект, але лише зараз знайшов час. В попередньому проекті, що я провів 30.12.2007, я оприлюднив 81 уразливість - це Arbitrary file edit, Local File Include, Directory Traversal та Full path disclosure уразливості. З них 49 Full path disclosure, 1 Arbitrary file edit і 31 Local File Include та Directory Traversal. Якщо б я вирішив зробити не “день багів”, а “місяць багів” (з публікацією по одній дірці), то цих уразливостей вистачило б майже на три проекти .
В першому записі 16 уразливостей та в другому 65 уразливостей. Тобто всього 81 уразливість в WordPress в рамках даного проекту (чимало з яких розробники так досі й не виправили). В новому проекті буде опубліковано менше уразливостей, але всі вони будуть достатньо цікаві.
W piątek rusza nabór wniosków na dofinansowanie e-biznesu - Forsal.pl
W piątek rusza nabór wniosków na dofinansowanie e-biznesu
Forsal.pl
"Wszyscy wnioskodawcy, zarówno ci, którzy mają bezpieczny podpis elektroniczny, jak i ci, którzy go nie mają, muszą wypełnić wniosek w generatorze wniosków. ...
i więcej »
Kategorie: Podpis elektroniczny
W piątek rusza nabór na dofinansowanie e-biznesu - Portal gospodarczy wnp.pl
W piątek rusza nabór na dofinansowanie e-biznesu
Portal gospodarczy wnp.pl
"Wszyscy wnioskodawcy, zarówno ci, którzy mają bezpieczny podpis elektroniczny, jak i ci, którzy go nie mają, muszą wypełnić wniosek w generatorze wniosków. ...
i więcej »
Kategorie: Podpis elektroniczny
Unijne pieniądze na twój e-biznes! - TVP
Unijne pieniądze na twój e-biznes!
TVP
Wszyscy wnioskodawcy, zarówno ci, którzy mają bezpieczny podpis elektroniczny, jak i ci, którzy go nie mają, muszą wypełnić wniosek w generatorze wniosków. ...
i więcej »
Kategorie: Podpis elektroniczny
Jutro rusza nabór na e-biznes - dobrze przygotuj wniosek o pół ... - Nowiny24
Jutro rusza nabór na e-biznes - dobrze przygotuj wniosek o pół ...
Nowiny24
Jeśli osoba składająca wniosek posiada podpis elektroniczny z certyfikatem kwalifikowanym, może to zrobić także za pośrednictwem internetu. ...
Kategorie: Podpis elektroniczny
[News and Links] Re: A beautiful example of how stupid users are
12eloaded Wrote:
-------------------------------------------------------
> I think I just lost faith in the human race.
>
> I'm actually surprised no one entered their login
> credentials as a comment in their utter confusion.
> After making those comments each one of those
> people probably just froze and stared at their
> screens, cross-eyed and drooling, waiting for
> someone to "fix facebook".
>
> Too bad nobody made the domain 'old.facebook.com'
> or something, they would have jumped on that crap
> like a pack of dogs on a three legged cat. lol
Some did post their login details.
comment no# 958
Email:rod4l@gmail.com
Passward: rod4pass
Log in pl0x
Posted by: Rodrigus | February 12, 2010 10:50
http://www.readwriteweb.com/archives/facebook_wants_to_be_your_one_true_loginpage20.php#comments
-----------------------------------------
comment no# 973
i am no moron. I am an intellectual and have my masters Don't be stupid If you change he system please have the integrity to explain the "modus operandi" Don' treat us as stupid just because you can not explain the system. I need to log in to-night. Kindly sort this out and thank you in anticipation
W piątek rusza nabór na dofinansowanie e-biznesu - Onet.pl
W piątek rusza nabór na dofinansowanie e-biznesu
Onet.pl
"Wszyscy wnioskodawcy, zarówno ci, którzy mają bezpieczny podpis elektroniczny, jak i ci, którzy go nie mają, muszą wypełnić wniosek w generatorze wniosków. ...
i więcej »
Kategorie: Podpis elektroniczny
W piątek rusza nabór na dofinansowanie e-biznesu - Gazeta Prawna
W piątek rusza nabór na dofinansowanie e-biznesu
Gazeta Prawna
"Wszyscy wnioskodawcy, zarówno ci, którzy mają bezpieczny podpis elektroniczny, jak i ci, którzy go nie mają, muszą wypełnić wniosek w generatorze wniosków. ...
i więcej »
Kategorie: Podpis elektroniczny
W piątek rusza nabór na dofinansowanie e-biznesu - Gazeta Wyborcza
W piątek rusza nabór na dofinansowanie e-biznesu
Gazeta Wyborcza
"Wszyscy wnioskodawcy, zarówno ci, którzy mają bezpieczny podpis elektroniczny, jak i ci, którzy go nie mają, muszą wypełnić wniosek w generatorze wniosków. ...
i więcej »
Kategorie: Podpis elektroniczny
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- następna ›
- ostatnia »