Не сочтите за подколки, или что-то подобное, просто интересно: «ЭТА ДЫРКА», как Вы выразились — reflected XSS, не позволяющая получить доступ к auth-cookie или чему-то более-менее значимому(тем более она http-only, и привязана к суб-домену my.*). Все внутренние ajax-ы идут через тот же суб-домен.
Так вот, что можно с ней сделать такого значимого, что могло бы считаться за «оттрах платформы»?
P.S. предвещая вопросы, не раз уже здесь проскакивавшие — представляю сугубо свою личную позицию, а не Prom.ua :)
Не сочтите за подколки, или что-то подобное, просто интересно:
«ЭТА ДЫРКА», как Вы выразились — reflected XSS, не позволяющая получить доступ к auth-cookie или чему-то более-менее значимому(тем более она http-only, и привязана к суб-домену my.*). Все внутренние ajax-ы идут через тот же суб-домен.
Так вот, что можно с ней сделать такого значимого, что могло бы считаться за «оттрах платформы»?
P.S. предвещая вопросы, не раз уже здесь проскакивавшие — представляю сугубо свою личную позицию, а не Prom.ua :)