Почему сторонний скрипт получает доступ к cookie?

Я вот о чем. Скрипт www.test1.ru установил себе куки Victim=Vulnerable.
Я ожидал, что "внешний" скрипт www.test2.ru/3dparty.js не получит доступ к данному куки. Но он это делает без проблем.
Я чуть модифицировал скрипт так, чтобы он не только читал, но и устанавливал куки для домена www.test1.ru. И опять - успешно.

Получается, что скрипт партнерских сетей имеет доступ на чтение и запись к кукам страницы, которая скрипт размещает. И это потенциальная уязвимость. Кроме того, возможность отслеживать пользователя.

Вот модифицированный вариант скрипта:

console.log( 'Cookie form foreign domain: ' + document.cookie );

var script = document.createElement('script');
script.innerHTML = 'console.log( "Cookie form victim domain: " + document.cookie )';
document.body.appendChild( script );

var h = window.location.host;
document.cookie = '3dParty=Track; domain='+h+'; path=/; max-age=3600; samesite=strict';

Почему сторонний скрипт получает доступ к cookie?

Я ожидал, что в первом случае команда document.cookie вернет undefined, т.к. должна была сработать защита от 3d party cookie при XSS. Но по факту: защита не работает?
Получается это можно использовать для отслеживания пользователей.

Мой вопрос был задан в рамках моей статьи https://habr.com/ru/post/472310/, как демонстрация уязвимости cookie.

Вопрос к слабовидящим: как лучше уведомить о наличии специальной версии сайта?

Если это иконка, можно использовать иконки-шрифты - тогда она окрасится в цвет текста (хотя, если пользователь захочет поменять шрифты...

Многие используют шрифт или его части от fontawesome.io (ставший уже стандартом де-факто). А станет ли пользователь специально "прибивать" этот шрифт? С другой стороны, за него это может сделать какой-нибудь вспомогательный аддон.
Я могу здесь ошибаться, но кажется в описании шрифта указывается, что он не для "печатных" символов (в шрифте указывается диапазон кодов символов им представленных). Поэтому такой аддон должен учитывать эту информацию, и не подменять иконочные шрифты на системные.
Я это к тому, что использование иконочных шрифтов - это хорошая идея. Правда для старых браузеров приходится делать картинки-спрайты. А с ними уже известные проблемы (background-image).

Вопрос к слабовидящим: как лучше уведомить о наличии специальной версии сайта?

Огромное спасибо, за столь развернутый ответ. Весьма ценная информация.

Полностью залитый белым фон выглядит не очень и для больших картинок может быть слишком ярким

Правильно ли я понял, что Вы имеете в виду здесь это: "не используйте большие картинки с большой площадью покрытия белом тоном, поскольку при изменении фона страницы на, скажем, темный, эта картинка будет сильно "бить" по глазам"?

не используйте тёмно-серый текст на светло-сером фоне

А вот мне интересно - на Хабре/Гиктаймсе/Тостере цвет текста - #333, а фона - #DEE1E5. И в твиттеровском bootstrap'е аналогичный цвет текста. С вашей точки зрения - это ещё допустимо или ...?

не используйте background-image для вставки картинок, которые что-то обозначают, а не просто украшательства.

А вот здесь действительно интересно. Понятно, что значимая информация не должна передаваться через background-image. Это даже не обсуждается. А вот что касается украшательств... Предположим, я реализую отбивку блока при помощи создания тени. Да и еще у блока градиентная заливка. Делаю это через background-image: url (для браузеров, которые не умеют box-shadow & linear-gradient). Но что случится, если человек захочет поменять фон на темный? Вопрос риторический. А решений. Я даже тут не вижу. Вот если бы был тот самый медиа-тип. Я хотя бы в нем, отключил те самые background-image. Но...
Вы не первый человек, который против такого подхода. Я вам уже писал про печальный опыт Opera с их медиа-типом braile. Значит, действительно, идея не продумана. Хотя на мой взгляд - тут нужен целый комплекс идей, а не одна-две.

Что касается предопределенных foregroundColor, и т.п. В IE можно использовать для цветов именованные константы типа: windowText, buttonText, scrollbar и т.п., которые учитывают системную схему и ваши предпочтения. Эти константы прямо следуют из WindowsAPI (https://msdn.microsoft.com/ru-ru/library/windows/d... Работает, если не ошибаюсь, с IE5. И даже сейчас это не выпилили. Но, у верстальщиков не прижилось. (Зато одно время многие баловались изменением цвета полос прокруток у браузеров). Наверное, виной тому негативное отношение к этому браузеру. Хотя эта и ваша идея, вообще, здравая.

Поэтому, где-нибудь вверху страницы можно оставить заметку вроде "чтобы увеличить шрифт, используйте ctrl + + или cmd + +"

Вот тут не соглашусь, поскольку я как раз таки начал этот топик, чтобы уйти от подобной схемы.

В целом я склоняюсь к мысли, что для создания удобного сайта для слабовидящих, нужен лишь правильный guideline для дизайнеров-верстальщиков с образцами, картинками (блекджеком и девками). И чёткое следование ему. И никаких "специальных версий" и "уведомлялок".

Вопрос к слабовидящим: как лучше уведомить о наличии специальной версии сайта?

Влад, но ведь одним масштабированием дело не обходится. Нужно ведь ещё и контрастную схему как-то включить (читай - применить патч-стили).
А как её включить? Сейчас тупо все делают мелкую кнопку "Версия для слабовидящих", которую только зрячие и видят. А иногда даже зрячие её не могут найти.

P/S
Мы не только делаем масштабируемую верстку, но и подгоняем стилями размер шрифта для разных мониторов. Например 14px будет смотреться крупным на экранах 800-1024 (нетбуки), но уже выглядеть мелко на экранах 1280-1680.
Вопрос был бы просто решаем, если бы в CSS был предусмотрен специальный медиатип, как на пример для экранных читалок: speech. Похоже мне нужно обращаться с предложением в w3c.org )))

Как научить автотест работать с alert окнами?

Такой вопрос: а если попросить разработчиков front-end'а не использовать alert, а заменить на спец.функцию fAlert. Ну или перегрузить alert собственной оберткой типа:

(function()
{
var oldAlert = window['alert'];
window['alert'] = function(msg)
{
/* здесь код, который помогает Selenium'у его обрабатывать */
....
// если не обработан, вызываем старый обработчик
if ( !processedBySelenium) oldAlert (msg);
}
})

Впрочем, в Firefox такая перегрузка не работает.

Как разобраться в исходном коде такого проекта как Mysql?

Илья: возможно, у вас хорошо развита интуиция, если вы быстро находите "где" и "что" нужно править.
Насчет "учить не надо" - ну это смотря какую цель вы ставите: написать "на скорую руку" заплатку или разобраться в проекте, чтобы влиться в команду. Ну или просто just-for-fun, для общего развития, так сказать. Соответственно, разные цели - разные подходы.
Но в целом, с вами согласен.

Тест-кейсы, тест-планы и чек листы, которые непосредственно используются в работе?

Старая шутка: Настоящий тестер входит в бар, вбегает в бар, вползает в бар, влетает в бар, впрыгивает в бар, и заказывает один стакан пива, пол стакана пива, 0,5 стакана пива, -2 стакана пива...

Как разобраться в исходном коде такого проекта как Mysql?

Нужно научитЬся собирать этот проект.

Что делает программиста программистом?

раз уж такая пьянка))

Программист самоучка = new Программист( {любовь_к_процессу, спортивный_интерес, желание_познавать_мир, нестандартное_мышление, аналитический_склад_ума} )
.прочитатьМногоКниг( "Д.Кнут", "А.Саломаа", "Д.Блох", "К.Бек", ... )
.многоКодитьJustForFun()
.посещатьКурсыИСеминары()
.изучатьДругиеПроектыOpenSource()
.создатьИРазвиватьСвойОткрытыйПроектДляЛюдей()
.завестиСебеБлог()
.пытатьсяНайтиРаботуПоВкусу()
.работатьВУдовольствие();

ОбычныйЧеловек студент = ВУЗ.факультетИнформатики.обучитьПрограммиста( ... );
студент
.посещатьЛекции()
.изучатьЛитературу()
.выполнятьЛабораторныеРаботы()
.сдаватьЭкзамены()
.написатьДипломную()
.защититьГосы()
.устроитьсяНаРаботу()
Программист новый_программист = (Программист )студент.работатьПоСпециальности();

ИнститутПереквалификации курсы = new КурсыПрограммистов()
курсы.принять( {любых_кто_думает_что_будет_зарабатывать_много_денег, бывший_офисный_планктон, менеджеров_не_удачников, и пр.} )
курсы.взять( бабло )
курсы.читатьЛекции( две_недели )
курсы.принятьЗачеты( не_обязательно )
Программист слушатель_курсов = курсы.выдатьСертификат()

Конструкция "class{}Name;" вместо "class Name{};"?

Объект анонимного класса создается сразу же по месту его описания. Т.е. больше создать объектов с таким же классом у вас не получится, т.к. вы ему не присвоили имя. Более полно данная конструкция выглядит так:
ClassName { class_defenition } instanceName1(arguments), instanceName2(arguments);
Вы объявляете класс (прототип будущих объектов) и даете ему имя ClassName. И сразу же создаете две его переменные instanceName и, instanceName2.
Далее вы можете написать: ClassName instanceName3 = new ClassName(arguments), чтобы создать третью переменную.

А если вы напишете так:
{ class_defenition } instanceName1(arguments), instanceName2(arguments);
Вы создадите переменные instanceName и, instanceName2 с таким прототипом, но создать instanceName3 у вас уже не получится.

Тоже самое касается структур.

Как выполнить Dependency Injection локальных переменных?

Большое, спасибо! Кажется, то что надо.

Как тестировать закрытые методы класса?

Премного благодарствую! Я совсем запамятовал о такой возможности.
Кажется, таким же образом можно устанавливать поля закрытых переменных класса (если для них нет публичных сеттеров).

Существуют ли особые методики тестирования 3D-приложений?

mamkaololosha: Коллеги, давайте без лишних эмоций. Только по существу. Вообще ни во что не играю - времени нет. Логвинова - первый раз слышу.

Существуют ли особые методики тестирования 3D-приложений?

Раньше тестирование UI-интерфейса тоже считалось невозможным. Пока не появились такие продукты, как Selenium.
Еще Яндекс, кажется, развивает методику тестирования соответствия визуального оформления веб-страниц на разных устройствах. Пока сравнение ведется сравнением картинок. Качество шейдеров, теоретически, можно было бы тестировать по подобной методике...
С FPS вопросов нет. Его-то можно измерить. А значит реально написать тест, контролирующий приемлемое быстродействие для приложения, после проведенного рефакторинга или апгрейда.

Может быть у читателей, занятых в подобных сферах разработки, есть еще какие-то мысли.