<div dir="ltr"><div class="gmail_default" style="font-size:small">either https and or a cookie or include a hash of what is serialised or what you expect a an gruement. in each case you detect a change. I have used cookies with encrypted info along with hashes along with random data so with each ajax call I verify. setting it up takes work. so you do not have to litter code with complicated crypto. It has passed some pretty stringent security requirements. be sure you trust the crypto libraries and you should be fine. The only actor you can not defeat is someone that has the money and access to a d-wave (Quantum computing)</div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div> </div><div>Kind Regards,</div><div> </div><div>Sean Glazier</div><div> </div></div></div></div></div></div>
<br><div class="gmail_quote">On Mon, Feb 27, 2017 at 11:35 AM, PAUL DEBRUICKER <span dir="ltr"><<a href="mailto:pdebruic@gmail.com" target="_blank">pdebruic@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi -<br>
<br>
<br>
If in a Seaside form (3.2.1 but not sure it matters) you have an input with a callback (& e.g #onChange: handler) and set its state to 'disabled' a nefarious actor can remove the 'disabled' state from the form element in the browser and then trigger the seaside callback on the form submit.<br>
<br>
<br>
How do people usually handle this?<br>
<br>
<br>
<br>
Right now in critical places I have two sets of form-input-drawing code e.g.<br>
<br>
disable<br>
  ifTrue:[ html textInput<br>
                disabled: true;<br>
                value: self name ]<br>
  ifFalse:[ html textInput<br>
                  onChange: html jQuery ajax serializeThis;<br>
                  on: #name of: self].<br>
<br>
But in other places I am neglectful.<br>
<br>
<br>
It seems to me that if I moved the #disabled: send down to be the last thing sent to the input then I could modify the #disabled: method to wipe out the callback and any javascript handlers attached to the input, preventing the unlikely attack I mention above.<br>
<br>
<br>
Does that make sense?<br>
<br>
<br>
Thanks for any thoughts you care to share<br>
<br>
<br>
Paul<br>
<br>
<br>
<br>
<br>
______________________________<wbr>_________________<br>
seaside mailing list<br>
<a href="mailto:seaside@lists.squeakfoundation.org">seaside@lists.<wbr>squeakfoundation.org</a><br>
<a href="http://lists.squeakfoundation.org/cgi-bin/mailman/listinfo/seaside" rel="noreferrer" target="_blank">http://lists.squeakfoundation.<wbr>org/cgi-bin/mailman/listinfo/<wbr>seaside</a><br>
</blockquote></div><br></div>