| [link]
----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět) | |
|
|
| re: Security-Portal.cz XSS | # |
| Dovol, abych tě upozornil, že tahle chyba se tady přetřásala nejméně 10x :) A just ji neopravíme :D
----------
Sec-Cave.cz - [link]
(odpovědět) | |
|
|
|
| re: Security-Portal.cz XSS | # |
| Negativní reklama, taky reklama ;)
(odpovědět) | | Duck | 85.71.165.* | 11.12.2010 4:31 |
|
|
|
| re: Security-Portal.cz XSS | # |
| Tak to je teď tedy po jedenácté :)
(odpovědět) | | .cCuMiNn, | 78.80.204.* | 10.12.2010 11:40 |
|
|
|
| re: Security-Portal.cz XSS | # |
| Duck: Spíš nechápu, že v tom nevidíte nebezpečí, když nepoužíváte httpOnly a cookie jsou platná pro celou doménu *.security-portal.cz.
(odpovědět) | | .cCuMiNn, | 193.85.36.* | 12.12.2010 13:10 |
|
|
|
| re: Security-Portal.cz XSS | # |
| Ty myslíš, že tě httpOnly ochrání? Je to jen jedna z dalších rádoby-náplastí na již tak chatrnou bezpečnost v celém internetu. Bohužel ale prosakuje. Tohle jako problém vážně nevidím. Po internetu se pohybují mnohem zákeřnější kusy kódu, které nezastaví žádný operační systém, žádna architektura, žádny HIPS, firewall, antivir nebo proaktivní ochrana. A to je podle mě problém.
(odpovědět) | | Duck | 85.71.165.* | 12.12.2010 13:32 |
|
|
|
| re: Security-Portal.cz XSS | # |
| Duck: Tak to prosakování httpOnly by mě celkem zajímalo. Chceš říct, že se JavaScriptem dostaneš k obsahu cookies i když je tento příznak nastaven? Pokud ano, tak mě prosím nakopni správným směrem na další zdroj informací.
(odpovědět) | | .cCuMiNn, | 193.85.174.* | 12.12.2010 22:14 |
|
|
|
| re: Security-Portal.cz XSS | # |
| Přesný link ti nedám, ale tuhle problematiku dost podrobně rozebírali všichni známí webaři. pdp, Grossman, Hoffmann, RSnake, kuza55 a další, takže stačí jen hledat. BTW: dnes už to není jen o čistém JS.
----------
Sec-Cave.cz - [link]
(odpovědět) | |
|
|
| re: Security-Portal.cz XSS | # |
| Všechno co jsem o obscházení httpOnly našel, je cca z roku 2007 a vše je již zazáplatováno. Domnívám se proto, že v současné době se dá httpOnly považovat za bezpečné.
(odpovědět) | | .cCuMiNn, | 78.80.204.* | 13.12.2010 9:32 |
|
|
|
| re: Security-Portal.cz XSS | # |
| Jsou i novejsi, tusim z nejake konference. Ale nepamatuju si, z ktere konfenece to bylo, ale myslim, ze o tom mluvil Grossmann.
(odpovědět) | | Duck | 158.194.92.* | 13.12.2010 13:16 |
|
|
|
| re: Security-Portal.cz XSS | # |
| Tak sry. Nebylo to na konferenci a nepsal o tom ani jeden z tech lidi, ktere jsem napsal vyse.
(odpovědět) | | Duck | 158.194.92.* | 13.12.2010 13:21 |
|
|
|
| re: Security-Portal.cz XSS | # |
| Promin, ted jsem se trochu ztratil :)
Ma teda smysl hledat, nebo sis to spletl s necim jinym?
(odpovědět) | | .cCuMiNn, | 78.80.204.* | 13.12.2010 13:41 |
|
|
|
| re: Security-Portal.cz XSS | # |
| seems to be fixed...
convertor je pod open_basedir a nema zadnou navaznost na zbytek SP. Bezpecnostni hrozba == 0
(odpovědět) | | cm3l1k1 | 88.103.27.* | 12.12.2010 18:22 |
|
|
|
| re: Security-Portal.cz XSS | # |
| cm3l1k1: nechápu co má open_basedir společného s XSS a bezpečnostní hrozba v podobě session stealing mi jako nulová bezpečnostní hrozba zrovna nepřijde.
(odpovědět) | | .cCuMiNn, | 78.80.204.* | 13.12.2010 9:34 |
|
|
|
