iFrame of andere external sources op extranet

Nee, natuurlijk niet. De hele site is informatie van jouw server, en het stukje van de video wordt rechtstreeks gedownload van bijv youtube. Je browser krijgt de opdracht download dit en dit van daar en daar.

Elke externe bron in een site is een potentieel risico. Tenzij je de data valideert (serverside) kan je daar nooit volledig garantie op geven, en zelfs dan is het nog niet waterdicht, je kan namelijk nooit overal op controleren.

In dat geval is je opzet verkeerd. Je zou geen iframes nodig moeten hebben.

MueR schreef op dinsdag 30 november 2010 @ 22:29:
Elke externe bron in een site is een potentieel risico.

Hoewel dat waar is, mag dat wel wat genuanceerd worden. Vanwege de SOP en een aantal andere zaken zorgen browsers er (in principe) voor dat content uit (i)Frames niet bij zaken kunnen waar ze niet bij horen te kunnen.
Maar dat is even uitgezonderd van browserbugs etc. Bij een site als youtube (ondanks dat ze daar ook wel eens een foutje maken) kun je er relatief aardig van uit gaan dat 't wel los zal lopen. Maar of het het risico waard is kun je alleen zelf bepalen; hoe belangrijk/gevoelig/etc. is die data en hoeveel risico (ondanks dat 't feitelijk best klein is) wil je lopen?

Maar beter is het inderdaad om gewoon de video's te embedden in je eigen pagina('s); daarmee voorkom je al dat er (bijv.) malicious code uit comments ofzo geladen zou worden (mocht die er wegens bugs bij youtube in komen). Maar ook een video zou malicious code kunnen bevatten natuurlijk...

[ Voor 15% gewijzigd door RobIII op 01-12-2010 16:24 ]

Als je echt zo zeker van de veiligheid wil zijn, dan test je dat toch *zelf*? Niet kwaad bedoeld hoor, maar als je het over gevoelige data hebt, moet je niet op een forum gaan vragen of het wel goed zal komen. Dan huur je een tester in en laat je hem de boel tot den dode testen. Je huurt een hacker in en geeft hem de opdracht om die veiligheid te omzeilen. Ik noem maar wat.

iframes zijn trouwens wel vies. Voor een youtubeje heb je geen iframe nodig - daarvoor is een flash-object voldoende. Maar dan nog ga je *zelf* testen of de browser geen data aan het request meestuurt dat je niet meegestuurd wil hebben

_Thanatos_ schreef op donderdag 02 december 2010 @ 01:39:
Als je echt zo zeker van de veiligheid wil zijn, dan test je dat toch *zelf*?

Beetje een NIH syndroom, niet? En alsof jij, ik of "een hacker" (right, die liggen voor 't oprapen , en dan doel ik niet op de buurjongen die een proefwerk cijfer via een gaar php script op school heeft weten aan te passen) alle mogelijke vulnerabilities kan testen. En zelfs gespecialiseerde bedrijven kunnnen niet garanderen 100% dekking te bieden. Daarbij zijn er miljoenen combinaties browsers/plugins/addon's en elk van die combinaties kan ergens een exploitable buffer overflow hebben of weet-ik-wat.


Een (i)Frame is "gewoon veilig" (of dat zouden ze moeten zijn); browser/plugin/addon vulnarabilities e.d daargelaten zijn ze in principe gesandboxed. Ga je met (erg) gevoelige data om dat moet je je afvragen of 't je het risico waard is om "funny cat" video's in diezelfde site op te nemen.

[ Voor 129% gewijzigd door RobIII op 02-12-2010 03:41 ]