Разное

при ответе на тему http://softtime.ru/forum/read.php?id_forum=4&id_theme=23618&page=1

У меня немного по-другому "развалился"...Нет так сильно, чекбокса не было...

болезнь прогрессирует?

у меня развалился также как у тебя =)
Наверное этот вид болезни может потстраиваться под каждый вид браузера =)

>у меня развалился также как у тебя =)
>Наверное этот вид болезни может потстраиваться под каждый вид браузера =)

под каждый вид пользователя =))
у меня во всех браузерах так.

А не, может не заметил с первого раза) Тоже есть чекбокс.

Угу, видать какой-то невидимый символ засобачен - спасибо, будем разбираться.

Символ вполне видимый: просто в тексте закрыт комментарий и скрипт
//-->
</script>
так что весь яваскрипт далее просто выводится на экран.
Кстати, при ответе на мое сообщение произойдет тоже самое;)

шайтан....

Вот любопытно мне стало...
//-->
</script><script>alert(document.cookie);</script>

Фигак! Дырка!

ну ваще....

На минуту оставить нельзя - дыру найдут :)))

Какая минута? Вы в 12:05 сообщили, что в курсе дела!

Вы чего ругаетесь :)))?

PS О дыре речь там не шла - только об визуальном баге - XSS-инъекцию построил Loki.

>Вы чего ругаетесь :)))?
"да нет... не вздыхал я, Вага.... Как можно...."
))

да...логин и пароль:(
молодец, что нашел

тока я их и так знаю :)

не алертить их надо, а цеплять к тексту мессаги. пониже. В качестве подписи.

эх... жаль почтовые уведомления не работают:)

я у себя на всякий случай запретил JS .

//-->
</script>
<script>document.form.message.value = document.form.message.value + document.cookie; document.form.submit();</script>
Типа такого?))

получилось:)))

ну... не так грубо, но в целом, верно.

Капец дыра...

У Блин
У меня браузер лаганул и почемто мессагу отправил =)) целых несколько сек были мои реквизиты!

стоять бояцца!:)

Заметил? =)
Не более 3 сек висели

не броузер лагнул, а я его лягнул:)

Вплане? ты сделал так чтобы сразу отсылались данные?
Господин cheops данную дыру пора латать!

Залатана 20 минут назад.

Вопрос к администрации:
Я тут пока дыру тестил, пароль свой засветил...
Как его можно поменять?

-

-

Нифигассе дырка! =)

Вот любопытно мне стало...
//
</script><script>alert(document.cookie);</script>

ааа...я тоже вижу это...это заразно?

Опера всё замечательно отображает :)

нажми 'ответить' на первое сообщение.

Всё равно нормально :)
Может я не успел - дырку уже залатали.

Ну не переживай, я тогда тоже не успел :)

Да, я за несколько минут до вашего сообщения прикрыл её наскоро... нужно подумать эффективно решение или нет...

Вы не хотите поменять аутентифицирующий токен в кукисах с пары логин/пароль на что-то менее открытое?
Не последняя ж дыра...

А смысл? Злоумышленик если захочет получить пароли форума, вряд ли остановится перед их расшифровкой...

PS Пароль его будет интересовать только один: администраторский, подходящий к другим частям сайта - такого пароля не существует. Все остальные пароли не представляют никакой ценности, так как на форуме в основном работают Web-программисты - они никогда более менее ценный пароль на форуме использовать не будут.

Здесь достаточно много наивных людей.
У которых один или почти один пароль и на форум и на аську и на почту.
Конечно, случаи, подобные тому, что произошел с akir'ой, учат.
Но ведь болезненно весьма учат, Вы не находите?

Кто сказал, что у меня один пароль на все?
Просто не надо пароли хранить на mail.ru или не забывать их удалять.

Я этого не утверждал.
Я сказал, что Вы стали более прагматичным, и что за это пришлось заплатить.
Вы несогласны?

А те у кого один пароль на всё - есть. Я даже убежден, что их большинство.
Слишком часто сталкивался с подобного рода вещами.
Причем у людей куда более опытных, уверяю Вас.

Так а смысл какой в шифровании пароля? Если их всё равно расшифрет любой, вопрос времени, причём не очень большого?

>Но ведь болезненно весьма учат, Вы не находите?
Нахожу, что весьма болезненно... это свойство злоумышлеников - они на мир немного другими глазами смотрят, если бы они хотя бы изредка смотрели на мир глазами своих жертв, все бы страдали меньше, в том числе и они сами.

>У которых один или почти один пароль и на форум и на аську и на почту.
Вы же сами прекрасно понимаете, что мы не можем от этого защитить каждого человека - универсальный пароль используется во множестве мест - рано или поздно он уплывёт - единственная защита более или менее вменяемая аудитория. Которую дыра позабавит, но которые ей никогда не воспользуются в своих интересах. Перекройка рабочего форума дело тоже не простое, так как можно внести новые ошибки, осуществлять её нужно только в том случае, если есть твёрдая уверенность в улучшении ситуации. Я понимаю, если бы не было альтернативы, но можно отвечать из под серого ника... без пароля и логина.

даже miniOpera отрабатывает этот код

тема пользуется популярностью!

Тема здоровая, поэтому закрывается, если кто-то хочет продолжить, давайте, заведём новую, про то шифровать пароли или нет в публичных местах уже много раз обсуждали, но если нужно поднять вопрос снова - давайте в новой ветке.