Posté par ragoutoutou .
En réponse au sondage AJAX.
Évalué à 4.
avec ajax tu peux aller chercher des infos partout ... mais aussi en envoyer ...
Non, des navigateurs comme firefox refusent qu'un javascript utilise xmlhttprequest pour pomper ou envoyer des données venant d'un autre site que celui dont le script est originaire (je suppose que pour I.E. c'est pareil)
bref une arme absolue de phishing ... sans que quiconque s'en appercoive ... d'ailleurs ca m'étonnerait pas que ca arrive rapido ca ...
Déjà utilisé pour le phishing depuis belle lurette, des mesures ont été déjà prises (comme la restriction sur le site)
Si tu crains pour le phishing, n'hésite pas à utiliser le https (qui est le minimum syndical pour le développement d'applications où la vie privée des utilisateurs est en jeu)... et n'hésite pas non-plus à implémenter des sécurités server-side (parceque croire un client sur parole, dans un contexte client-serveur avec des données sensibles, c'est du suicide)
Le phishing est une réalité qui dépasse de loin un gadget comme xmlhttprequest, si tu te prémunis correctement contre le phishing, tu n'as pas grand-chose à craindre de xmlhttprequest, si tu bâcles, effectivement, ça pourrait agrâver un peu la situation.
[^] # Re: testé et desapprouvé
Posté par ragoutoutou . En réponse au sondage AJAX. Évalué à 4.
Non, des navigateurs comme firefox refusent qu'un javascript utilise xmlhttprequest pour pomper ou envoyer des données venant d'un autre site que celui dont le script est originaire (je suppose que pour I.E. c'est pareil)
Déjà utilisé pour le phishing depuis belle lurette, des mesures ont été déjà prises (comme la restriction sur le site)
Si tu crains pour le phishing, n'hésite pas à utiliser le https (qui est le minimum syndical pour le développement d'applications où la vie privée des utilisateurs est en jeu)... et n'hésite pas non-plus à implémenter des sécurités server-side (parceque croire un client sur parole, dans un contexte client-serveur avec des données sensibles, c'est du suicide)
Le phishing est une réalité qui dépasse de loin un gadget comme xmlhttprequest, si tu te prémunis correctement contre le phishing, tu n'as pas grand-chose à craindre de xmlhttprequest, si tu bâcles, effectivement, ça pourrait agrâver un peu la situation.