Perfidies / Plugindir是Mozilla's plugin vulnerability database的客户。我认为this site geared for end users上有一个变体。
我想将使用旧版Java,Silverlight,Flash等的任何浏览器重定向到“隔离”页面,要求他们在允许登录之前升级浏览器。
我需要做哪些技术更改才能完成此任务?
我必须了解Perfidies特定的javascript对象吗?
我应该进行任何部署问题或修改吗?
... ...
答案 0 :(得分:1)
您应该为您的问题提供更多背景信息。我会尝试帮助你,虽然建议一种方法来做到这一点。
您提到您要禁止用户登录,因此我认为最好的方法是将验证代码作为javascript包含在登录页面中。请记住,因为脚本是在客户端上执行的,所以不能保证它会真正执行,并且专家用户可以绕过例如“保护”。禁用脚本。但是,如果您在Intranet中并且通常信任您的用户,那么这应该不是一个大问题。
要了解如何使用Perfidies,我建议您查看以下文件,您应该能够根据需要进行更改(未经过测试!)。 https://github.com/ozten/Perfidies-of-the-Web/blob/master/plugincheck_ui.js
调用的主要功能似乎是Pfs.findPluginInfos(Pfs.UI.navInfo, browserPlugins, incrementalCallbackFn, finishedCallbackFn)。在incrementalCallbackFn中,您将获得所有易受攻击的插件。如果存在,您可以将浏览器重定向到您的页面。
参见参考页面,了解如何填写其他功能参数。
关于部署,我允许某种方式跳过此验证,因为总会有一些情况需要允许特殊访问。如果你的老板需要在5分钟内完成报告,你不想告诉他他必须先更新他的java版本,只是因为昨天有一个更新,甚至可能尚未被利用。
因此,对于试图访问该页面的用户,可能会显示一个大红色警告,但如果他们选择,则给他们一种忽略警告的方法......