※ [本文转录自 NetSecurity 看板] 作者: siewyao (OneLove) 看板: NetSecurity 标题: [问题] ajax, api 时间: Fri Dec 21 10:13:59 2007 新的技术带来了方便 我有几点想法 还请大家释惑 当我在search box打搜寻字串时 譬如说google.com 马上就有suggest跳出来 这应当是字串已经被纪录下来 搜寻到还好 但如果是log in时 如果被另一个恶意script撷取密码且不自觉 那不糟了 同样的我也看一些网站的注册 只要打字的同时 旁边就直接告诉你说这个username是available的 譬如说这个jamendo.com 另外几天前我看到flickr的公告 http://blog.flickr.com/en/2007/03/08/news-2007-3-08/ 想知道说api本身是不是会有漏洞 相对开发时要注意什麽 使用时要注意什麽 还是说这只是单纯phishing的问题 我想到几点defense 1. 匿名浏览 隐藏 改变ip 2. 免洗id 3. 增加插件不允许 ajax存取 大家有什麽想法呢 谢谢 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 61.228.75.236 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 61.228.89.159