Ja, absolut, men XSS kræver bare en del ting, før det bliver farligt:
- Et sikkerhedshul på siden (Duh...)
- At brugere selv klikker ind på siden
- At brugeren er attraktiv. Det skal forstås på den måde, at der skal være noget at hente, ved at hacke brugeren. Det værende spændende cookies, upatch...
Først: Sådan! God håndtering.
Dernæst:
En XSS-fejl kan da overleves. Især når den kun bruges til at redirecte folk til en anden hjemmeside.
Det samme kan klares med en del Drupal-installationer uden brug af XSS. Drupal anvender:
http://drupalhjemmeside.domæne/?q=redirectside
Og hvis man da er b...
Selvom det vel efterhånden er slået fast, at det er en dum idé at fuske med ens eget kort, hvad holder så en fra at fuske med andres?
Man kan nemt forestille sig scenariet, hvor en ondsindet går ned gennem en propfyldt 5A med en trådløs læser+skriver og ændrer folks saldo på kortene. Når en hel ...
Tja, man kan jo patche den relevante "billedefil" til altid at sende en forkert checksum, hvilket ikke burde være umuligt at gøre for en dygtig IT-kriminel.
Men en virtuel maskine ville nok være en del nemmere.
Bare til info...
Udover de nævnte kan man i koden se, at der er klargjort til tre systemer mere:
Linux 64 bit (filnavn: ok.gif)
OSX til ppc (filnavn: cancel.gif)
OSX 64 bit (filnavn: startup.gif)
Så når (/hvis) folk finder nogle nye i fremtiden, bør de ikke blive bekymrede.
Til de interessered...
Kigger man på dem, finder man ud af, det er PE filer.
Umiddelbart ligner de bare to udgaver af samme fil: en til x86 og en til x86-64. De importerer samme filer og eksporterer samme.
De eksporterer:
_Java_dk_danid_plugins_Wuddelcakes_a
... helt til...
_Java_dk_danid_plugins_Wuddelcakes_f
Hvilket ...
Vil det så sige, at man ved at ændre indholdet af den cookie kan udgive sig for at være en anden profil, eller er der mere sikkerhed end artiklen fortæller om?
Kommentarer
Re: Og så var det heller ikke værre...
Og så var det heller ikke værre...
Og hvad så med andre?
Re: Hvordan?
Yderligere filer
large.gif og pause.gif
Sikkerhed
Tiltrædelse