Andreas Thiele
Primære faneblade
-
Ja, absolut, men XSS kræver bare en del ting, før det bliver farligt: - Et sikkerhedshul på siden (Duh...) - At brugere selv klikker ind på siden - At brugeren er attraktiv. Det skal forstås på den måde, at der skal være noget at hente, ved at hacke brugeren. Det værende spændende cookies, upatch... -
Og så var det heller ikke værre...
Først: Sådan! God håndtering. Dernæst: En XSS-fejl kan da overleves. Især når den kun bruges til at redirecte folk til en anden hjemmeside. Det samme kan klares med en del Drupal-installationer uden brug af XSS. Drupal anvender: http://drupalhjemmeside.domæne/?q=redirectside Og hvis man da er b... -
Og hvad så med andre?
Selvom det vel efterhånden er slået fast, at det er en dum idé at fuske med ens eget kort, hvad holder så en fra at fuske med andres? Man kan nemt forestille sig scenariet, hvor en ondsindet går ned gennem en propfyldt 5A med en trådløs læser+skriver og ændrer folks saldo på kortene. Når en hel ... -
Re: Hvordan?
Tja, man kan jo patche den relevante "billedefil" til altid at sende en forkert checksum, hvilket ikke burde være umuligt at gøre for en dygtig IT-kriminel. Men en virtuel maskine ville nok være en del nemmere. -
Yderligere filer
Bare til info... Udover de nævnte kan man i koden se, at der er klargjort til tre systemer mere: Linux 64 bit (filnavn: ok.gif) OSX til ppc (filnavn: cancel.gif) OSX 64 bit (filnavn: startup.gif) Så når (/hvis) folk finder nogle nye i fremtiden, bør de ikke blive bekymrede. Til de interessered... -
large.gif og pause.gif
Kigger man på dem, finder man ud af, det er PE filer. Umiddelbart ligner de bare to udgaver af samme fil: en til x86 og en til x86-64. De importerer samme filer og eksporterer samme. De eksporterer: _Java_dk_danid_plugins_Wuddelcakes_a ... helt til... _Java_dk_danid_plugins_Wuddelcakes_f Hvilket ... -
Sikkerhed
Vil det så sige, at man ved at ændre indholdet af den cookie kan udgive sig for at være en anden profil, eller er der mere sikkerhed end artiklen fortæller om? -
Tiltrædelse
Det lyder fedt! Hvornår kan man forvente, han tiltræder?