Ist das nicht dasselbe wie diese Doku von 2023, oder gibt es da was Neues? Felix bezweifelt irgendwie, dass jemand, der zufällig für die Notaufnahme eingeteilt war, größere Erfahrung im Beurteilen von Verletzungen durch Scharfschützen hat.

>>157376
>Damit kann man behinderte Mikrobankmarken gewinnen.
Selbst das erscheint fraglich. Welche Mikrobankmarke soll das sein?

>>157378
>nach zwei wochen dürfte es selbst im treppenhaus schon zart duften
Ein Gedicht!

>>157371
>Ein "false" setzen sollte genügen für diesen key/value header.

Dokumentation sagt Nein:
>Directives
>
>

true

>
>The server allows credentials to be included in cross-origin HTTP requests. This is the only valid value for this header and is case-sensitive. If you don't need credentials, omit this header entirely rather than setting its value to false.

Wäre ja auch sonst nicht verwirrend genug.

zl;ng: Dadurch, dass Diätkanal diesen Header nicht setzt, tut es bereits das richtige.


>>157377
Es ist alles so mühsam. Warum können Brausierer nicht von sich aus das richtige, vernünftige, erwartbare, naheliegende und sichere tun? Kein Keks sollte jemals von einer anderen Seite ausgelesen werden können ohne explizites Opt-In.

hat noch keiner seiner "freunde" bei ihm zuhause mal angeklopft?
nach zwei wochen dürfte es selbst im treppenhaus schon zart duften

>>157373

https://medium.com/@Lucif3rr/http-cookie-attributes-8a0962f46b68
<SameSite is used by a variety of browsers to identify whether to allow a cookie to be accessed or not.It helps in preventing against CSRF attack.
<Strict
<The Strict value is the most restrictive usage of SameSite, allowing the browser to send the cookie only to first-party context without top-level navigation. In other words, the data associated with the cookie will only be sent on requests matching the current site shown on the browser URL bar. The cookie will not be sent on requests generated by third-party websites.

Wenn es nur darum geht den Cookie zu schützen sollte das reichen. Musst halt deinen eigenen Cookie mal inspizieren:
https://addons.mozilla.org/en-US/firefox/addon/cookie-quick-manager/
https://github.com/spacesynth/userscripts-collection/blob/master/userscripts/YouTubeDarkNoAutoplayCookies.user.js#L27

Nur als Referenzen, welche Daten und Werte in einem gutem™ Cookie sein können.
Wenn dein Server den Cookie beim anlegen vor Fremdzugriff schützt weiss auch der Fuchs, wie der den Cookie auf anderen Seiten schützt.
Denke das ist unproblematisch bei einem gut definierten Cookie. Die Isolation tut ihr Übriges.

>Was rauchen die eigentlich bei GCC?
Vorsicht, gleich pfostiert ein Felix die Bugzilla-Elfe mit Fefe und -fwrapv und erklärt dir, das alles, was im C-Standard legal ist, per definitionem eine gute Implementationsentscheidung ist.

Tatsächlich wird diese Geschichte noch lustiger: Clang hatte dieses Verhalten in der Vergangenheit, schuf es dann aber wieder ab, weil es zu behindert war und GCC es richtig tat. Jetzt macht es Clang richtig aber GCC falsch.

>>157357
Nur Unionen. memset ist streng genommen übrigens auch nicht zuverlässig, da NULL und 0.0 nicht unbedingt durch Nullbytes repräsentiert werden müssen.

>>157374
>Welchen Nutzen soll das haben?
Damit kann man behinderte Mikrobankmarken gewinnen.

>>157370
Das weißt du doch nicht.

>>157372
>Bezüglich Unions hat er aber immer nur vorausgesetzt, dass das benutzte Mitglied initialisiert wird, auch wenn man seit C99 per Bezeichner ein anderes wählen kann.
Mag sein, trotzdem geht GCC hier vollretardiert. Welchen Nutzen soll das haben?

>>157371
>Was genau läuft hier ab?
Keine Ahnung. Wüsste ich auch gerne.

>Ist das keine Ausnahme von dir im Fuchs?
Nein, ich habe nie irgendeine Ausnahme gesetzt.

>Sondern Kohl haut einen embed auf eine Ressource im Diätkanal und daher kommt ein Cross Site cookie?
Scheint so. Was zum Fick?

>Klingt in der Tat sehr nervig.
Ja, etwas bedenklich. Ich hätte keine Lust, dass, wenn ich hier mit meinem Admin-Konto eingeloggt bin und den Kohl besuche, der einfach meinen Sitzungkeks klauen kann. Allerdings scheint das experimentell nicht der Fall zu sein: Die Kekse sind wohl in unterschiedlichen "Namensräumen" gespeichert, also wenn ich z.B. hier ein anderes Thema (Hell/Dunkel) einstelle, dann hat das auf den Frame bei Kohl keine Auswirkungen und umgekehrt. Aber ich möchte auch nicht, dass der Kohl meinen Sitzungskeks auslesen kann, falls ich mich mal in geistiger Umnachtung dort im Frame anmelden sollte.

Soweit ich es verstanden und versucht habe, experimentell zu verifizieren, kann auch die Elternseite (in dem Fall Kohl) nicht auf den Inhalt des Frames zugreifen und soll (Quelle: Internet™) auch nicht die Kekse des Frames auslesen können, wenn der Frame von einer anderen Domain kommt.

Deswegen verstehe ich diese Meldung irgendwie auch nicht so richtig. Wenn damit – anders als es klingt – gemeint sein sollte, dass der Frame (also in dem Fall dietchan) die Kekse der Elternseite (Kohl) auslesen könnte – ich glaube, das ginge u.U. per JS – dann würde ich es ja verstehen, aber müsste die Warnung dann nicht bei Kohlchan erscheinen statt hier? Ich werde daraus einfach nicht schlau.

>https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Access-Control-Allow-Credentials
Werde ich mir mal anschauen. Mal gucken, ob das irgendwas nützt.

>>157357
Der C-Standard schreibt vor, dass alle verbleibenden Felder eines Structs inklusive Füllung leer-initialisiert werden, wenn mindestens ein Feld explizit initialisiert wird.
Bezüglich Unions hat er aber immer nur vorausgesetzt, dass das benutzte Mitglied initialisiert wird, auch wenn man seit C99 per Bezeichner ein anderes wählen kann.

@Zuse:
https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Access-Control-Allow-Credentials

Leider will die Flut an Headern nicht aufhören. Ein "false" setzen sollte genügen für diesen key/value header. Ansonsten bin ich mit meinem Latein am Ende. Wenn es geht würde ich mich allerdings freuen, dass bei mir direkt mitzuimplementieren.

Was genau läuft hier ab? Ist das keine Ausnahme von dir im Fuchs? Sondern Kohl haut einen embed auf eine Ressource im Diätkanal und daher kommt ein Cross Site cookie? Klingt in der Tat sehr nervig. Ich kann das hier halt nicht beobachten, da ich Kohl seit 1 Jahr nicht mehr nutze. Glaube da war zu viel Proof of Work beim connect oder irgendwas hat mich genervt.

>>157352
Ich bezweifle, daß Fefe mit jemand befreundet ist, der Handynummer nicht ohne Deppenleerzeichen buchstabieren kann.

>>157368
credentialless führte lediglich dazu, dass der Frame gar nicht mehr geladen wurde, was nun etwas zu weit geht. Diverse CORS/CORP/COOP/COEP/Blah-Header werden bereits gesetzt, aber das scheint nicht zu helfen.

Oke, denke das ist wirksame Medizin.

Ergänzung:
Nein warte, kann sein, dass ich die Header weiter unten habe und das teil der

ist, die ich in meinem Py-Ranzcode habe. Sind bestimmt ein paar Dinge dabei von nutzen.
Ist wohl irgendein teil der CORS-Policy.

https://nuxt-security.vercel.app/headers/crossoriginembedderpolicy#credentialless

>>157363

>Weiß zufällig jemand, wie man das hier wekbekombt?
Den dummen Button rein im Fuchs kosmetisch:
https://github.com/ran-sama/firefox-preferences/tree/master/chrome
Die CSS da bitte + das alte Framework von Aris:
https://github.com/Aris-t2/CustomCSSforFx/releases/tag/4.5.4
Musst dir halt rausklauen aus meiner CSS was du brauchst. Die komplette wird dir unter Garantie zu viel sein.


>Gibt es irgendeinen HTTP-Header, den der Diätkanal hier setzen kann, um das zu verhindern?
https://github.com/ran-sama/python3-https-tls13-micro-server/blob/master/server.py#L46



Bitte nicht alles auf einmal in nginx/gatling nutzen.
https://wiki.selfhtml.org/wiki/Sicherheit/Content_Security_Policy
https://content-security-policy.com/

>>157364
Lustig, hier ist es gerade (leidlich) schnell. Scheint so, als ob die Telekomiker immer mal rotieren, bei wem sie es gerade langsam machen. So wie die Mafia dir erst mal zur Warnung nur ein Fenster einschlägt, bevor sie den ganzen Laden zerstören, wenn du dein Schutzgeld nicht bezahlst.

>>156815
Sowas kommt von sowas.

Weiß zufällig jemand, wie man das hier wekbekombt? Anscheinend passiert das, wenn man mal über Kohlchan per Frame hier gelauert hat. Ich habe ja nichts dagegen, dass der Kohl die Seite als Frame einbindet und will das auch gar nicht verhindern, aber ich verstehe diese Meldung zu den Keksen nicht ganz. "Learn More" führt bloß auf diese Seite [0], aus der ich auch nicht schlauer werde:

> Managing cross-site cookies
>
> While cross-site cookies from trackers are blocked in Firefox by default, a site may signal to the browser that it needs to use them for important functionality. In this case, Firefox will allow a third-party website to use cross-site cookies the first five times (or up to 1% of the number of unique sites you visit in a session, whichever is larger) without prompting you.
>
> [...]
>
> Automatic access
>
> Firefox automatically allows third-party websites to use cross-site cookies on the first five or so websites you visit. For example, Amazon Pay would be able to use cookies on Old Navy, Blick, dog.com and a handful of other sites without asking you for permission.

Gans ehrlich, was soll diese Scheiße? Und "five or so"? Spezifischer geht es nicht?

Also zl;ng, scheint irgendeine komische Brauserheuristik zu sein, keine Ahnung was das soll, habe da nicht eingewilligt, ich will das nicht, und ich verstehe auch nicht ganz, wer hier wessen Kekse schreiben und lesen kann.

Gibt es irgendeinen HTTP-Header, den der Diätkanal hier setzen kann, um das zu verhindern?

[0] https://support.mozilla.org/en-US/kb/third-party-trackers?as=u&utm_source=inproduct#w_managing-cross-site-cookies