Toon posts:

[ie/ff] waarom acces denied in IE en alles ok in FF

Pagina: 1
Acties:

dinsdag 7 september 2004 15:29

Acties:
  • Genoil
  • Registratie: Maart 2000
  • Laatst online: 12-11-2023

Genoil

Topicstarter
ik heb het volgende stukje code (bnn.nl is maar een voorbeeldsite):
code:
1
2
3

<frameset>
    <frame src="http://www.bnn.nl" />
</frameset>


waarom krijg ik in IE "Access denied" errors bij het laden en klikken op elementen met javascript erachter, terwijl Firefox er geen probleem mee heeft. Ik heb geprobeerd het probleem met eigen stukjes code te reproduceren, maar dat werkt gewoon overal. Wat is er nou met die BNN site aan de hand dat IE er op stikt en Firefox het allemaal wel goed vind?

--
voor de duidelijkheid, ik draai bovenstaande code vanaf een ander domein dan bnn.nl :)

[ Voor 14% gewijzigd door Genoil op 07-09-2004 15:31 ]

dinsdag 7 september 2004 15:33

Acties:
  • crisp
  • Registratie: Februari 2000
  • Laatst online: 01:12

crisp

Devver

Pixelated

speel eens wat met je security-settings in IE :)

Intentionally left blank

dinsdag 7 september 2004 15:36

Acties:
  • cutter
  • Registratie: November 2000
  • Laatst online: 28-09-2025

cutter

Wannabe i7 fanboy

Genoil schreef op 07 september 2004 @ 15:29:

voor de duidelijkheid, ik draai bovenstaande code vanaf een ander domein dan bnn.nl :)
Daar geef je je antwoord al. Met crosside javascripting zou ik hele leuke dingen kunnen doen. Banksite laden in een frame en de input via javascript naar een ander verborgen veld op mijn eigen site toezenden.

dinsdag 7 september 2004 15:36

Acties:
  • Genoil
  • Registratie: Maart 2000
  • Laatst online: 12-11-2023

Genoil

Topicstarter
crisp schreef op 07 september 2004 @ 15:33:
speel eens wat met je security-settings in IE :)
hmm bingo...ik had m'n settings strenger staan dan default...kan me niet herinneren dat ik dat zelf gedaan heb. Doet XPSP2 dat ofzo?

dinsdag 7 september 2004 15:37

Acties:
  • curry684
  • Registratie: Juni 2000
  • Laatst online: 12-05 22:23

curry684

left part of the evil twins

Cross-domain frames zijn nu eenmaal potentieel enorm gevaarlijk, en om die reden heb je inderdaad kans dat de Security Settings van je Internet Zone het verbiedt, of interactive content op de externe domains blokkeert.

Tevens kan je nog enge dingen als 'Norton Internet Security' oid draaien die wel met IE integreren en niet met FF...

Professionele website nodig?

dinsdag 7 september 2004 15:38

Acties:
  • curry684
  • Registratie: Juni 2000
  • Laatst online: 12-05 22:23

curry684

left part of the evil twins

Genoil schreef op 07 september 2004 @ 15:36:
[...]


hmm bingo...ik had m'n settings strenger staan dan default...kan me niet herinneren dat ik dat zelf gedaan heb. Doet XPSP2 dat ofzo?
Dat is een van de essenties van SP2 ja, dat security default een enorm stuk dichter staat getimmerd :)

Professionele website nodig?

dinsdag 7 september 2004 15:38

Acties:
  • Genoil
  • Registratie: Maart 2000
  • Laatst online: 12-11-2023

Genoil

Topicstarter
cutter schreef op 07 september 2004 @ 15:36:
[...]


Daar geef je je antwoord al. Met crosside javascripting zou ik hele leuke dingen kunnen doen. Banksite laden in een frame en de input via javascript naar een ander verborgen veld op mijn eigen site toezenden.
ja maar hier is niets "cross" aan. Het menuutje van BNN wordt bv met Javascript ge-document-write. dat gebeurde bij mij dus niet meer. jammer dat ik m'n securiry settings nou gerese heb, want nou weet ik niet meer welke setting de oorzaak was :)

dinsdag 7 september 2004 15:39

Acties:
  • Genoil
  • Registratie: Maart 2000
  • Laatst online: 12-11-2023

Genoil

Topicstarter
curry684 schreef op 07 september 2004 @ 15:38:
[...]

Dat is een van de essenties van SP2 ja, dat security default een enorm stuk dichter staat getimmerd :)
Ja maar als ik dus "reset to defaults" doe, ben ik weer terug in het SP1 tijdperk? Da's vreemd...

[edit]

oh wacht nee dat bleek toch niet zo. maar als ik het goed heb moet de security op "Low" staan wil het wel werken. ik vind het maar een belachelijke instelling, want de scripts zouden gewoon moeten worden uitgevoerd binnen hun eigen frame. ik bedoel, wat is nou het verschil tussen een gewone webbrowser met www.bnn.nl in de adresbalk of mijn bovenstaand stukje HTML?

dank U M$ , kan ik fijn een vet concept (al zeg ik het zelf ;) in de prullenbak mikken :(

[ Voor 45% gewijzigd door Genoil op 07-09-2004 15:53 ]

dinsdag 7 september 2004 16:07

Acties:
  • djluc
  • Registratie: Oktober 2002
  • Laatst online: 23-05 14:53

djluc

Is server-side laden geen optie?

dinsdag 7 september 2004 16:08

Acties:
  • Genoil
  • Registratie: Maart 2000
  • Laatst online: 12-11-2023

Genoil

Topicstarter
/ijlen

[ Voor 98% gewijzigd door Genoil op 07-09-2004 16:11 ]

dinsdag 7 september 2004 16:36

Acties:
  • Mithrandir
  • Registratie: Januari 2001
  • Laatst online: 22-05 16:20

Mithrandir

Genoil schreef op 07 september 2004 @ 15:39:
[...]


Ja maar als ik dus "reset to defaults" doe, ben ik weer terug in het SP1 tijdperk? Da's vreemd...

[edit]

oh wacht nee dat bleek toch niet zo. maar als ik het goed heb moet de security op "Low" staan wil het wel werken. ik vind het maar een belachelijke instelling, want de scripts zouden gewoon moeten worden uitgevoerd binnen hun eigen frame. ik bedoel, wat is nou het verschil tussen een gewone webbrowser met www.bnn.nl in de adresbalk of mijn bovenstaand stukje HTML?

dank U M$ , kan ik fijn een vet concept (al zeg ik het zelf ;) in de prullenbak mikken :(
Eh, Aardig ja.

Stel je het eens andersom voor. Microsoft staat het wel toe, maar je andere browser niet. Op het moment dat jouw site voor een bank echter javascript-geinjecteerd word, sta je niet zo te springen. Dan is het 'slechte microsoft toch, altijd kut-securite... bla... bla...'.

Het blijft altijd kiezen of delen.

Verbouwing

dinsdag 7 september 2004 17:01

Acties:
  • curry684
  • Registratie: Juni 2000
  • Laatst online: 12-05 22:23

curry684

left part of the evil twins

Genoil schreef op 07 september 2004 @ 15:39:
[...]

oh wacht nee dat bleek toch niet zo. maar als ik het goed heb moet de security op "Low" staan wil het wel werken. ik vind het maar een belachelijke instelling, want de scripts zouden gewoon moeten worden uitgevoerd binnen hun eigen frame.
Lekker kortzichtig, iets belachelijk vinden omdat het toevallig niet handig uit komt voor jou :/
ik bedoel, wat is nou het verschil tussen een gewone webbrowser met www.bnn.nl in de adresbalk of mijn bovenstaand stukje HTML?
Nou, om maar een duidelijke te noemen: bij de eerste staat www.bnn.nl in de adresbalk? In jouw situatie ziet de gebruiker nergens visueel of hij zijn passwords in zit te kloppen op MijnPostbank.nl of op jouw site die er hetzelfde uit ziet?

Of nog meer feest: is het je al eens opgevallen dat een childframe het complete DOM van de hele pagina kan benaderen? En dat je dus door creatieve scripting alles met de frames kunt doen wat je maar wilt, including but not limited to uitlezen van alle invulvelden?
dank U M$ , kan ik fijn een vet concept (al zeg ik het zelf ;) in de prullenbak mikken :(
Ja stel je eens voor: ze stellen security een keer goed af en nu zijn ze weer M$ |:(

Professionele website nodig?

dinsdag 7 september 2004 17:21

Acties:
  • RwD
  • Registratie: Oktober 2000
  • Niet online

RwD

kloonikoon

curry684 schreef op 07 september 2004 @ 17:01:
[...]

Lekker kortzichtig, iets belachelijk vinden omdat het toevallig niet handig uit komt voor jou :/

[...]

...

[...]

Ja stel je eens voor: ze stellen security een keer goed af en nu zijn ze weer M$ |:(
En van de andere kant bekeken, ik als piraat frame jouw site en licht jouw klanten op met dezelfde technieken waarmee jij op websites goed met frames kunt werken... Zou een beetje lullig zijn, ik denk dat je dan harder bij Microsoft gaat klagen...

Van de andere kant (weer helemaal rond geweest in 2 zinnen :)), misschien zouden frames zo moeten werken dat je frames in een ander domein niet kunt benaderen, maar alleen binnen je eigen (of specifiek aangegeven andere) domein. Op die manier behoud je de veiligheid toch?

[ Voor 9% gewijzigd door RwD op 07-09-2004 17:22 ]

dinsdag 7 september 2004 17:27

Acties:
  • glashio
  • Registratie: Oktober 2001
  • Laatst online: 18:57

glashio

C64 > AMIGA > PC

Genoil schreef op 07 september 2004 @ 15:39:
maar als ik het goed heb moet de security op "Low" staan wil het wel werken.
Idd :) zie de MSIE specs

> Google Certified Searcher
> Make users so committed to Google that it would be painful to leave
> C64 Gospel
> [SjoQ] = SjoQing

dinsdag 7 september 2004 17:41

Acties:
  • Genoil
  • Registratie: Maart 2000
  • Laatst online: 12-11-2023

Genoil

Topicstarter
nou ik ben een beetje aan het broddelen geslagen met het zgn. frame-rommel "veilige" IE. ik moet toegeven de draad inmiddels compleet kwijt te zijn. wie klikt er ff met me mee:

IE6 met XPSP2, cache UIT. Zelfde BNN framesetje, mag best iets anders zijn. BNN is wel handig, want ze pleuren het Flash menu bovenin met Javascript neer dus dat zie je snel.

• zet Internet Security op Medium -> Apply -> Close
• laadt de pagina met de frameset -> allemaal JS errors, geen Flash menu op BNN
• herlaadt de pagina (F5) -> errors weg, WEL Flash menu!
• klik IN de Address-bar en druk <enter> -> weer JS errors, geen menu
• Reload, weer errors, enz. enz.

Dus ik snap jullie "foei, cross-frame-scripting is boos" antwoorden wel, maar A) Ik wil helemaal niet cross-frame/cross-domain scripten, en B ) mijn IE browser gedraagt zich niet consistent als het hier op aan komt. Het kan toch niet zo zijn dat het niet veilig wordt geacht als ik de pagina inlaad door enter te drukken in m'n adresbalk, en wel als ik een keer reload? of zit daar een specifiek verschil tussen dat tot de "permission denied" bijdraagt?

----------
update: ik zit het nu thuis te testen en hier gaat alles wel zoals ik verwacht op Medium Security level. er zal wel iets mis (virusscanner waarschijnlijk) zijn met m'n pc op het werk. hoop ergernis voor niks weer :) klote norton :( ;)

[ Voor 24% gewijzigd door Genoil op 07-09-2004 19:15 ]

Pagina: 1
Reageer