لم اذكر يا أحمد انها خاليه من المشاكل ، eval التى تستخدم فى اعراب ال JSON بحد ذاتها مصيبه كبيره ، يمكن من خلالها عمل xss و السيطره على ال client اذا ما تم السيطره على ال server او مكان بث ال JSON ههههه
@ mostafa farghaly : فى الحقيقة لا اعتقد ان هناك شخص ما يستولى على سيرفر وبعدها يفكر بJSON او غيرها
فهى تعمل بالعكس اى انك عندما تريد استغلالها لابد من ان تكون اخترقت السيرفر او السكريبت نفسه وساعتها لن يكون لأى من هذا اهمية هذا اولا
ثانيا عندما اشرت الى “خالية من المشاكل” كنت اقصد “التواصل” او Requests كما تسمى
كنت على وشك كتابة موضوع عن JSON و AJAX باستخدام JQuery ولكنى عندما رأيت موضوعك أجلت المقال كسل
ونورت المدونة
لا لا اكتب المقال عادى ، انت كده زعلتنى ، انا كنت اقصد السيطره على اسيرفر معناها سيطره بث ال JSON ، بمعنى انه يبث كود جافاسكربت يبترجم فورا على المتصفح ، تعرف ليه السيطره على JSON ممكن تؤدى إلى كوارث ، تخيل معايا flickr api او google api اللى بتبث JSON ، واحد قدر يتحكم فى بث ال JSON و فى مقدمه كل رد من السيرفر فى كود جافاسكربت خبيث ، الاف المواقع هتضر ، مش بس جوجل او فليكر ، لأن الاف المواقع بتستخدم google api و flickr api ، اتمنى ان تكون الفكره وضحت
انا فاهم قصدك بس انا أجلت المقال لما شفت الدرس بتاعك قلت حاجه مؤقته
وبالنسبة للاخترق , علشان تعمل injection لكود معين يظهر فى JSON لابد انك تكون وصلت للسكريبت أولا يعنى
تخيل ان واحد قدر يدخل السيرفر يعنى يتحكم فى البث من السيرفر نفسه
يعنى خلاص السيرفر تم اختراقه يعنى سواء كانت JSON او اى شئ اخر هاتكون فى ايد المخترق
يعنى ساعتها مش هاتكون مشكله JSON هاتكون مشكلة السكريبت الموجود على السيرفر سواء كان PHP او غيره
وعل كل حال انا فاهم قصدك بس اسئأل نفسك
لو كانت المواقع دى كلها مثلا شغال XML-RPC وده موجود كتير جدا
وحصل ان واحد سيطر على سيرفر معين
اكيد اى موقع تانى بيستخدم نفس السيرفر هايكون مصاب
يعنى المشكله مش مشكله JSON
اتمنى انى اكون قد اوضحت وجهة نظرى
وياريت ترد عليا لو لسه مقتنع ان JSON فيها مشاكل
اما تقنعنى او اقنعك
ولكن طريقة الحقن تتقم بنفس المثال
انا ادافع عن JSON فى انها تنتج خطورتها من اخطاء السيرفر Server-side وليس مشكلة بها او خطوره منها هى
ولازلت عند رأيي ان الخطروه ليست من JSON ولكن الخطوره من server نفسه
على كل حال هناك حل وسط
وهو ان البرمجه الجيده تقلل فرص الاخطاء او الاختراقات وباطبع بالاضافة للقاعدة الشهيرة “لاتثق أبدأ بأى مستخدم يستخدم السكريبت” , هذا رأيى المتواضع فى الموضع ككل مع JSON او غيرها
الجمعة-02-2009 at 1:49 ص
لم اذكر يا أحمد انها خاليه من المشاكل ، eval التى تستخدم فى اعراب ال JSON بحد ذاتها مصيبه كبيره ، يمكن من خلالها عمل xss و السيطره على ال client اذا ما تم السيطره على ال server او مكان بث ال JSON
ههههه
الجمعة-02-2009 at 2:07 ص
@ mostafa farghaly : فى الحقيقة لا اعتقد ان هناك شخص ما يستولى على سيرفر وبعدها يفكر بJSON او غيرها
كسل
فهى تعمل بالعكس اى انك عندما تريد استغلالها لابد من ان تكون اخترقت السيرفر او السكريبت نفسه وساعتها لن يكون لأى من هذا اهمية هذا اولا
ثانيا عندما اشرت الى “خالية من المشاكل” كنت اقصد “التواصل” او Requests كما تسمى
كنت على وشك كتابة موضوع عن JSON و AJAX باستخدام JQuery ولكنى عندما رأيت موضوعك أجلت المقال
ونورت المدونة
الجمعة-02-2009 at 2:26 م
لا لا اكتب المقال عادى ، انت كده زعلتنى ، انا كنت اقصد السيطره على اسيرفر معناها سيطره بث ال JSON ، بمعنى انه يبث كود جافاسكربت يبترجم فورا على المتصفح ، تعرف ليه السيطره على JSON ممكن تؤدى إلى كوارث ، تخيل معايا flickr api او google api اللى بتبث JSON ، واحد قدر يتحكم فى بث ال JSON و فى مقدمه كل رد من السيرفر فى كود جافاسكربت خبيث ، الاف المواقع هتضر ، مش بس جوجل او فليكر ، لأن الاف المواقع بتستخدم google api و flickr api ، اتمنى ان تكون الفكره وضحت
الجمعة-02-2009 at 4:36 م
انا فاهم قصدك بس انا أجلت المقال لما شفت الدرس بتاعك قلت حاجه مؤقته
وبالنسبة للاخترق , علشان تعمل injection لكود معين يظهر فى JSON لابد انك تكون وصلت للسكريبت أولا يعنى
تخيل ان واحد قدر يدخل السيرفر يعنى يتحكم فى البث من السيرفر نفسه
يعنى خلاص السيرفر تم اختراقه يعنى سواء كانت JSON او اى شئ اخر هاتكون فى ايد المخترق
يعنى ساعتها مش هاتكون مشكله JSON هاتكون مشكلة السكريبت الموجود على السيرفر سواء كان PHP او غيره
وعل كل حال انا فاهم قصدك بس اسئأل نفسك
لو كانت المواقع دى كلها مثلا شغال XML-RPC وده موجود كتير جدا
وحصل ان واحد سيطر على سيرفر معين
اكيد اى موقع تانى بيستخدم نفس السيرفر هايكون مصاب
يعنى المشكله مش مشكله JSON
اتمنى انى اكون قد اوضحت وجهة نظرى
وياريت ترد عليا لو لسه مقتنع ان JSON فيها مشاكل
اما تقنعنى او اقنعك
الجمعة-02-2009 at 6:17 م
JSON جاهز للتشغيل داخل المتصفح بمجرد اعرابه عن طريق eval ، اما ردود XML-RPC تكون عباره عن XML لا يتم اعرابها عن طريق ال DOM .
الجمعة-02-2009 at 6:18 م
أقصد لا يتم اعرابها إلا عن طريق ال DOM .
الجمعة-02-2009 at 6:47 م
ولكن طريقة الحقن تتقم بنفس المثال
انا ادافع عن JSON فى انها تنتج خطورتها من اخطاء السيرفر Server-side وليس مشكلة بها او خطوره منها هى
ولازلت عند رأيي ان الخطروه ليست من JSON ولكن الخطوره من server نفسه
على كل حال هناك حل وسط
وهو ان البرمجه الجيده تقلل فرص الاخطاء او الاختراقات وباطبع بالاضافة للقاعدة الشهيرة “لاتثق أبدأ بأى مستخدم يستخدم السكريبت” , هذا رأيى المتواضع فى الموضع ككل مع JSON او غيرها