вот здесь автор описывает случай взлома и подмены JS библиотеки, в результате чего страница загружает посторонний JS и начинает майнить:
https://twitter.com/Scott_Helme
как я понимаю, это не прокатит с СФ, так как система не позволит странице загрузить JS с домена, не указанного в Remote Sites. Поправьте меня, если я ошибаюсь
вот здесь автор описывает случай взлома и подмены JS библиотеки, в результате чего страница загружает посторонний JS и начинает майнить: https://twitter.com/Scott_Helme как я понимаю, это не прокатит с СФ, так как система не позволит странице загрузить JS с домена, не указанного в Remote Sites. Поправьте меня, если я ошибаюсь
Я думаю не множко не так, Есть такая штук СORS
Я думаю не множко не так, Есть такая штук СORS
https://twitter.com/Scott_Helme
как я понимаю, это не прокатит с СФ, так как система не позволит странице загрузить JS с домена, не указанного в Remote Sites. Поправьте меня, если я ошибаюсь
На стороне СФ ты сильно не помайнишь,народ пытался посчитать интегральное уравнение, ответ из Salesforce прилител очень быстро!...
[quote="Den Brown"]вот здесь автор описывает случай взлома и подмены JS библиотеки, в результате чего страница загружает посторонний JS и начинает майнить: https://twitter.com/Scott_Helme как я понимаю, это не прокатит с СФ, так как система не позволит странице загрузить JS с домена, не указанного в Remote Sites. Поправьте меня, если я ошибаюсь[/quote] На стороне СФ ты сильно не помайнишь,народ пытался посчитать интегральное уравнение, ответ из Salesforce прилител очень быстро!...
Не нашел по ссылке что там за способ такой, но вот вам ликбез
Пофиг на Remote Sites, пофиг на CORS.
Как будто вы никогда с CDN либы сторонние не подрубали?
И SF это или не SF какая разница? Код запускается в браузере на стороне клиента, а не на стороне SF.
Так что если вы что-то грузите стороннее - то это означает что вы на 100% доверяете этому источники.
А теперь про подмены. Если используете CDN злоумышленник может взломать CDN и залить туда что угодно. Пользователь открывает страницу, с CDN скачивается и запускается то что отдаст CDN. Вы никак это не проконтролируете. Если вы используете исключительно Static Recources (что должно быть сделано по правилам) то круг подозреваемых сужается до Вас и Salesforce. А теперь скажите откуда вы берете либы чтобы положить их в статик ресурсу? Конечно с официальных сайтов - !не взломаных в чем вы 100% уверены . И вы на 100% уверены что jQuery который вы используете именно jQuery, а не jQuery+майнер!
Не нашел по ссылке что там за способ такой, но вот вам ликбез Пофиг на Remote Sites, пофиг на CORS. Как будто вы никогда с CDN либы сторонние не подрубали? И SF это или не SF какая разница? Код запускается в браузере на стороне клиента, а не на стороне SF. Так что если вы что-то грузите стороннее - то это означает что вы на 100% доверяете этому источники. А теперь про подмены. Если используете CDN злоумышленник может взломать CDN и залить туда что угодно. Пользователь открывает страницу, с CDN скачивается и запускается то что отдаст CDN. Вы никак это не проконтролируете. Если вы используете исключительно Static Recources (что должно быть сделано по правилам) то круг подозреваемых сужается до Вас и Salesforce. А теперь скажите откуда вы берете либы чтобы положить их в статик ресурсу? Конечно с официальных сайтов - !не взломаных в чем вы 100% уверены ;) . И вы на 100% уверены что jQuery который вы используете именно jQuery, а не jQuery+майнер!
Если еще не читали (я вроде уже выкидывак где-то на форуме)
Любителям NodeJS, NPM, Webpack читать обязательно.
Если еще не читали (я вроде уже выкидывак где-то на форуме) Любителям NodeJS, NPM, Webpack читать обязательно. https://habrahabr.ru/company/ruvds/blog/346442/