Wednesday, March 19, 2008

Safari 3.1: No history token support anymore

Судя по security-update письмам от Apple, в Safari 3.1 убрали поддержку "History Tokens". Эта технология используется ajax веб-сайтами для того, чтобы позволить пользователю:

а) Использовать кнопки "назад-вперёд" в привычном для него режиме

б) Позволить пользователю сохранить URL, и при навигации на него веб-приложение автоматически восстановит своё состояние (а в "true web 2.0" сайтах другого способа таки нет).

 

Цитата из письма:

WebCore
CVE-ID:  CVE-2008-1009
Available for:  Mac OS X v10.4.11, Mac OS X v10.5.2, Windows XP or Vista
Impact:  Visiting a maliciously crafted website may result in cross-site scripting
Description:  A JavaScript injection issue exists in the handling of the history object. This may allow frames to set history object properties in all other frames loaded from the same web page. An attacker may leverage this issue to inject JavaScript that will run in the context of other frames, resulting in cross-site scripting. This update addresses the issue by no longer allowing webpages to alter the history object.

 

Я проверил на своём Safari 3.1 (525.13) - действительно все сайты перестали иметь возможность менять history token. В целом, довольно плохая новость.




UPDATE: Не совсем верно - не ВСЕ сайты потеряли функционал "хистори-токена". К примеру, сайты с использованием старой версии GWT (GWT 1.3 к примеру) действительно потеряли этот функционал. Но, к примеру, официальная демка GWT с последним зарелизнутым GWT 1.4 уже полностью нормально работает: демо. Чуть позже протестирую сайты с использованием хистори-токена на ASP.NET Futures.

No comments: