Добрый день всем. Есть бета версия чата, которого хотелось бы проверить на вшивость. Интересует аспект безопасностьи и юузабельность. Чат полностью написан на ajax/javascript(фронтенд) и пхп(бакенд) без использования скула. Вес трафик по направлению клиент-сервер-клиент шифруется национальным алгоритмом сша - ДЕСом. Так что сниф автоматом отпадает. Фреймов нет, XSS тоже наврятле.. Хотелось бы услышать профессиональное мнение(если таковое есть) в этой теме. з.ы. Адресс чата в заголовке темы.
Поля ICQ UIN и Сайт при редактировании уже зарегестрированного юзера успешно переваривают Code: "><script>alert("XSS :)!")</script> , и выдают алерты, так что XSS есть, причем активная.
XSS тут даже не пахнет - не активной не пасивной. Если повторно запросить информацию с сервера - все будет в первозданном виде. Темболе что все опасные теги режутсья еше на падлете. К тому же от xss мало пользы тк не хеш пароля не тем более сам пароль не хранятсь в куках, только ид сессии да и та превязанна к ip.
