In article <1lyji19.1gt3gn759u1x2N%, (Pierre-Alain Dorange) wrote:
Fra wrote:
> > Non... Sinon cela poserait de grave problèmes de sécurité. > > C'est aussi ce que je supputais mais quelqu'un (d'un peu parano) m'a > affirmé le contraire et m'a mis le doute.
Je ne serai être aussi affirmatif que vous. Le javascript par exemple s'excute en local (client-side : sur le poste client) et peut donc potentiellement accéder aux infos sur la machien du client... L'historique étant stocké dans un fichier sur le disque de ce même client... il n'y a qu'un pas que la raison...
Je suis à peu près sûr que le JavaScript exécuté dans un navigateur n'a pas accès au système de fichier, sauf pour les fichiers explicitement désignés par l'utilisateur (par glisser-déposer pour copier le fichier dans Dropbox par exemple)
La manipulation n'est possible que pour l'historique de l'onglet. Il s'agit de l'historique accessible par les boutons Avant / Arrière. L'historique global n'est pas accessible. De plus, les exemples donnés permettent d'avancer, reculer, ajouter des éléments, mais pas (me semble-t-il) de récupérer les URLs de l'historique.
> D'ailleurs qu'est-ce qui empêcherait de faire un navigateur qui le > permettrait (Google pourait avoir envie de faire ça par exemple).
Rien, voir les iens ci-dessus et la Browser History API du HTML5 pour se convaincre que c'est plus que possible...
Le code JS provient d'un serveur et donc est limité dans ce qu'il peut faire. Le code du navigateur par contre a évidemment accès à l'historique, comme toute application a accès à ses fichiers ou, si elle n'est pas sandboxée, à l'ensemble des fichiers lisibles par l'utilisateur.
Patrick -- Patrick Stadelmann
In article <1lyji19.1gt3gn759u1x2N%pdorange@pas-de-pub-merci.mac.com>,
pdorange@pas-de-pub-merci.mac.com (Pierre-Alain Dorange) wrote:
Fra <fra@alussinan.org> wrote:
> > Non... Sinon cela poserait de grave problèmes de sécurité.
>
> C'est aussi ce que je supputais mais quelqu'un (d'un peu parano) m'a
> affirmé le contraire et m'a mis le doute.
Je ne serai être aussi affirmatif que vous.
Le javascript par exemple s'excute en local (client-side : sur le poste
client) et peut donc potentiellement accéder aux infos sur la machien du
client... L'historique étant stocké dans un fichier sur le disque de ce
même client... il n'y a qu'un pas que la raison...
Je suis à peu près sûr que le JavaScript exécuté dans un navigateur n'a
pas accès au système de fichier, sauf pour les fichiers explicitement
désignés par l'utilisateur (par glisser-déposer pour copier le fichier
dans Dropbox par exemple)
La manipulation n'est possible que pour l'historique de l'onglet. Il
s'agit de l'historique accessible par les boutons Avant / Arrière.
L'historique global n'est pas accessible. De plus, les exemples donnés
permettent d'avancer, reculer, ajouter des éléments, mais pas (me
semble-t-il) de récupérer les URLs de l'historique.
> D'ailleurs qu'est-ce qui empêcherait de faire un navigateur qui le
> permettrait (Google pourait avoir envie de faire ça par exemple).
Rien, voir les iens ci-dessus et la Browser History API du HTML5 pour se
convaincre que c'est plus que possible...
Le code JS provient d'un serveur et donc est limité dans ce qu'il peut
faire. Le code du navigateur par contre a évidemment accès à
l'historique, comme toute application a accès à ses fichiers ou, si elle
n'est pas sandboxée, à l'ensemble des fichiers lisibles par
l'utilisateur.
Patrick
--
Patrick Stadelmann <Patrick.Stadelmann@unine.ch>
In article <1lyji19.1gt3gn759u1x2N%, (Pierre-Alain Dorange) wrote:
Fra wrote:
> > Non... Sinon cela poserait de grave problèmes de sécurité. > > C'est aussi ce que je supputais mais quelqu'un (d'un peu parano) m'a > affirmé le contraire et m'a mis le doute.
Je ne serai être aussi affirmatif que vous. Le javascript par exemple s'excute en local (client-side : sur le poste client) et peut donc potentiellement accéder aux infos sur la machien du client... L'historique étant stocké dans un fichier sur le disque de ce même client... il n'y a qu'un pas que la raison...
Je suis à peu près sûr que le JavaScript exécuté dans un navigateur n'a pas accès au système de fichier, sauf pour les fichiers explicitement désignés par l'utilisateur (par glisser-déposer pour copier le fichier dans Dropbox par exemple)
La manipulation n'est possible que pour l'historique de l'onglet. Il s'agit de l'historique accessible par les boutons Avant / Arrière. L'historique global n'est pas accessible. De plus, les exemples donnés permettent d'avancer, reculer, ajouter des éléments, mais pas (me semble-t-il) de récupérer les URLs de l'historique.
> D'ailleurs qu'est-ce qui empêcherait de faire un navigateur qui le > permettrait (Google pourait avoir envie de faire ça par exemple).
Rien, voir les iens ci-dessus et la Browser History API du HTML5 pour se convaincre que c'est plus que possible...
Le code JS provient d'un serveur et donc est limité dans ce qu'il peut faire. Le code du navigateur par contre a évidemment accès à l'historique, comme toute application a accès à ses fichiers ou, si elle n'est pas sandboxée, à l'ensemble des fichiers lisibles par l'utilisateur.
Patrick -- Patrick Stadelmann
Paul Gaborit
À (at) Tue, 20 Jan 2015 09:15:24 +0100, (Pierre-Alain Dorange) écrivait (wrote):
Fra wrote:
> Non... Sinon cela poserait de grave problèmes de sécurité.
C'est aussi ce que je supputais mais quelqu'un (d'un peu parano) m'a affirmé le contraire et m'a mis le doute.
Je ne serai être aussi affirmatif que vous. Le javascript par exemple s'excute en local (client-side : sur le poste client) et peut donc potentiellement accéder aux infos sur la machien du client... L'historique étant stocké dans un fichier sur le disque de ce même client... il n'y a qu'un pas que la raison...
D'ailleurs qu'est-ce qui empêcherait de faire un navigateur qui le permettrait (Google pourait avoir envie de faire ça par exemple).
Rien, voir les iens ci-dessus et la Browser History API du HTML5 pour se convaincre que c'est plus que possible...
Ce que vous n'avez pas compris, c'est que derrière ces API de manipulation de l'historique, il y a un modèle de sécurité qui définit précisément ce à quoi chaque bout de code JS a accès.
Il se peut que l'implémentation de ce modèle soit erronée et qu'en exploitant un bug, on puisse passer outre mais ce n'est pas le fonctionnement normal.
Évidemment, si on est parano, on peut se dire que les bugs existent et qu'ils sont exploités sans qu'"on" le sache. Mais dans ce cas, outre JavaScript on peut aussi soupçonner le moteur de rendu HTML/CSS du navigateur, la pile TCP/IP de l'OS... et même le matériel (disques, processeurs, clé USB, puce Wifi ou Bluetooth, etc.).
-- Paul Gaborit - <http://perso.mines-albi.fr/~gaborit/>
À (at) Tue, 20 Jan 2015 09:15:24 +0100,
pdorange@pas-de-pub-merci.mac.com (Pierre-Alain Dorange) écrivait (wrote):
Fra <fra@alussinan.org> wrote:
> Non... Sinon cela poserait de grave problèmes de sécurité.
C'est aussi ce que je supputais mais quelqu'un (d'un peu parano) m'a
affirmé le contraire et m'a mis le doute.
Je ne serai être aussi affirmatif que vous.
Le javascript par exemple s'excute en local (client-side : sur le poste
client) et peut donc potentiellement accéder aux infos sur la machien du
client... L'historique étant stocké dans un fichier sur le disque de ce
même client... il n'y a qu'un pas que la raison...
D'ailleurs qu'est-ce qui empêcherait de faire un navigateur qui le
permettrait (Google pourait avoir envie de faire ça par exemple).
Rien, voir les iens ci-dessus et la Browser History API du HTML5 pour se
convaincre que c'est plus que possible...
Ce que vous n'avez pas compris, c'est que derrière ces API de
manipulation de l'historique, il y a un modèle de sécurité qui définit
précisément ce à quoi chaque bout de code JS a accès.
Il se peut que l'implémentation de ce modèle soit erronée et qu'en
exploitant un bug, on puisse passer outre mais ce n'est pas le
fonctionnement normal.
Évidemment, si on est parano, on peut se dire que les bugs existent et
qu'ils sont exploités sans qu'"on" le sache. Mais dans ce cas, outre
JavaScript on peut aussi soupçonner le moteur de rendu HTML/CSS du
navigateur, la pile TCP/IP de l'OS... et même le matériel (disques,
processeurs, clé USB, puce Wifi ou Bluetooth, etc.).
--
Paul Gaborit - <http://perso.mines-albi.fr/~gaborit/>
À (at) Tue, 20 Jan 2015 09:15:24 +0100, (Pierre-Alain Dorange) écrivait (wrote):
Fra wrote:
> Non... Sinon cela poserait de grave problèmes de sécurité.
C'est aussi ce que je supputais mais quelqu'un (d'un peu parano) m'a affirmé le contraire et m'a mis le doute.
Je ne serai être aussi affirmatif que vous. Le javascript par exemple s'excute en local (client-side : sur le poste client) et peut donc potentiellement accéder aux infos sur la machien du client... L'historique étant stocké dans un fichier sur le disque de ce même client... il n'y a qu'un pas que la raison...
D'ailleurs qu'est-ce qui empêcherait de faire un navigateur qui le permettrait (Google pourait avoir envie de faire ça par exemple).
Rien, voir les iens ci-dessus et la Browser History API du HTML5 pour se convaincre que c'est plus que possible...
Ce que vous n'avez pas compris, c'est que derrière ces API de manipulation de l'historique, il y a un modèle de sécurité qui définit précisément ce à quoi chaque bout de code JS a accès.
Il se peut que l'implémentation de ce modèle soit erronée et qu'en exploitant un bug, on puisse passer outre mais ce n'est pas le fonctionnement normal.
Évidemment, si on est parano, on peut se dire que les bugs existent et qu'ils sont exploités sans qu'"on" le sache. Mais dans ce cas, outre JavaScript on peut aussi soupçonner le moteur de rendu HTML/CSS du navigateur, la pile TCP/IP de l'OS... et même le matériel (disques, processeurs, clé USB, puce Wifi ou Bluetooth, etc.).
-- Paul Gaborit - <http://perso.mines-albi.fr/~gaborit/>
fra
J.P. Kuypers wrote:
Les serveurs Web bien tempérés conservent normalement une trace des visites (adresse IP des visiteurs et pages consultées). Ils n'ont donc pas besoin de consulter ton historique de navigation.
J'entendais les pages visitées sur d'autres serveurs. -- Fra
Les serveurs Web bien tempérés conservent normalement une trace des
visites (adresse IP des visiteurs et pages consultées). Ils n'ont donc
pas besoin de consulter ton historique de navigation.
J'entendais les pages visitées sur d'autres serveurs.
--
Fra
Les serveurs Web bien tempérés conservent normalement une trace des visites (adresse IP des visiteurs et pages consultées). Ils n'ont donc pas besoin de consulter ton historique de navigation.
J'entendais les pages visitées sur d'autres serveurs. -- Fra
