Онлайн: 297

Нет аккаунта? Регистрация

Пользователей онлайн: 297

Экспресс знакомства
Алексей Строганов, М23

Ищу ту, для кого служение станет смыслом жизни. LS

NellyNelly, Ж31

;-)

Безопасность сайта

Добавлено: 2012-09-23 19:09

Авторсинеенебо
простите, Вас так безопасность сайта волнует или ущемленное самолюбие Вашей барышни?
Вашему верху, барышня, по статусу не положено и претит интересоваться как там поживает самолюбие, настроение и т.п. его нижней?

Добавлено: 2012-09-23 19:09

АвторDomSv
Вашему верху, барышня, по статусу не положено и претит интересоваться как там поживает самолюбие, настроение и т.п. его нижней?
Об этом, если Вы хотите, Вы можете поинтересоваться у него самого.
Разница только в том, что за все свои слова, сказанные на форуме, я отвечаю самостоятельно, а не прячусь за спину Верха, как кошка, поджавшая хвост.

Добавлено: 2012-09-23 19:09

Авторсинеенебо
Об этом, если Вы хотите, Вы можете поинтересоваться у него самого.
Разница только в том, что за все свои слова, сказанные на форуме, я отвечаю самостоятельно, а не прячусь за спину Верха, как кошка, поджавшая хвост.
каким образом за свои слова самостоятельно может ответить человек, учетка которого на сайте забанена? Научите.

Добавлено: 2012-09-23 19:09

АвторСильвестр
По ходу остался баг позволяющий удалять фото юзеров

Я ещё не знаю где находится эта дыра, но знаю как не допустить этого .
Очень скоро это прекратится ...
1) хватит сраться !!!

2) ГРАЖДАНЕ !!!! Я знаю что за мерзкий подлец удалял все ваши фото !!!!!

Этот негодяй, как оказалось - я

Так что звыняйте , я больше не буду

Смело заливайте свои фото :-)
🍌Всё будет банан 🍌

Добавлено: 2012-09-23 19:09

АвторDomSv
каким образом за свои слова самостоятельно может ответить человек, учетка которого на сайте забанена? Научите.
Ах если бы это было впервые. А еще можно писать сообщения от своего имени с Вашего аккаунта.

Добавлено: 2012-09-23 19:09 ( Ред. 2012-09-23 19:09 )

Авторсинеенебо
Ах если бы это было впервые. А еще можно писать сообщения от своего имени с Вашего аккаунта.
конкретный пример, раз уж такое заявляете

Произвольная цитата

1) хватит сраться !!!


так мы же за любой кипишь кроме голодовки )))

Добавлено: 2012-09-23 20:09

Произвольная цитата

возмущению моему не было предела не в том что она нашла баг , а то КАК указала на это


Уважаемый Сильвестр. Моему возмущению в тот момент так же не было предела, так как на тот момент, если вы помните, состоялось массовое похищение эмейлов с вашей базы, и имел место отчаянный "мороз" с вашей стороны.
Если вам кажется, что получение неприятных угроз на почту - малая причина для переживаний, то еще несколько я озвучу таки лично, если вдруг заинтересуетесь.
Соглашусь, что с моей стороны была действительно допущена халатность - эмейл после регистрации сохранить. О чем жалею. Но самонадеянно утверждать, что "сами казлы" попросту было некрасиво.

Теперь по сути. Я в жизни не занималась целенаправленным взломом чего бы то ни было. Но статьи о безопасности той или иной реализации предпочитаю читать до того, как браться за нее. В частности, о том, что в директории должен лежать индексный файл я учила десятилетних детей на курсах )) А отсутствие таковых (по всему дереву сайта) обнаружила ну совершенно случайно.

Говорите, проблемы с безопасностью появились недавно... Нет, появился маньяк, и вы занялись таки устранением уязвимостей.

Говорите, сессии к айпи привязали.
Напрягаем орган здравомыслия. Для того, чтоб подменить идентификатор сессии, его нужно знать. Получить такой можно, например, поселив троян на компьютер пользователя.
для этого:
1) написать троян
2) подсунуть его нужному пользователю
Допустим, имея базу почтовых адресов, можно попытаться взять пользователя на дурака, прислав ему вкусненькую ссылку. Но для этого нужно еще и обойти антивирусники целевого пользователя, что многократно усложняет задачу 1. Поэтому:
3) пользователь должен быть халатным.
а халатного уж проще купить на фишинг.
Далее, есть неприменное условие.
4) Входить на сайт надо одновременно с целевым пользователем, пока он числится "онлайн".
А судя по рассылке, об этом писалось в других темах, жертвами стали пользователи, которые месяцами не входили на сайт.
Так что не туда вы тратили усилия.
Возможно, имело место указание id пользователя в куках (мне вот честное слово, было совершенно лень это проверять). Ну, тогда звыняйте, еще один взнос в копилку школьных дыр, наравне с индексными файлами. Надеюсь, вопреки ангельским глазам и рассказам о подмене сессии, вы действительно настоящую дыру устранили.

По поводу картинок. Вот не успела я это сообщение дописать. Заметила ваш белый платок, когда хотела скопировать фрагмент адреса фотографии, в котором могла закрасться ошибка. Промежуточный каталог из 5 или 6 цифр. Он?

Добавлено: 2012-09-23 20:09

Еще Вам повторю ))) Не о безопасности сайта речь то шла. Речь только о том, что нельзя было это отрицать ранее.
Ответил, так как показалось, что ко мне относится пост.

Добавлено: 2012-09-23 20:09 ( Ред. 2012-09-23 20:09 )

>Говорите, проблемы с безопасностью появились недавно... Нет, появился маньяк, и вы занялись таки устранением уязвимостей.

Именно . Проблемы с безопасностью возникают тогда, когда эту безопасность кто то нарушает ...

>Так что не туда вы тратили усилия.

Очень даже туда, ибо быра дыра позволяющая делать javascript иньекцию что позволяло тырять все куки юзера .
И если напрячь моск , то имея свежую ИД сессии, можно написать очень простой скрипт ,который тут же проникнет в акк юзера очень плотно ...


что касается троянов и фишингов , меня это мало волнует так как это как раз ответственность юзера , нужно быть осторожным в мети ...


про белый платок не проникся
🍌Всё будет банан 🍌

Добавлено: 2012-09-23 20:09

АвторDomSv
конкретный пример, раз уж такое заявляете

Произвольная цитата

1) хватит сраться !!!


так мы же за любой кипишь кроме голодовки )))
Хорошо. Скольких примеров постоянного вступания за свою нижнюю Вам будет достаточно? С учетом того, что г-жа Slezka удалена с сайта достаточно давно. И чтобы более не засорять тему - отправлю примеры в личку. Deal?

Добавлено: 2012-09-23 20:09

Произвольная цитата

имея свежую ИД сессии


Это безусловно. Но в темах речь шла о пользоваьелях, которые давно не входили. Что дыра была - это несомненно, и не одна )) Но, видимо, и не последняя.

Добавлено: 2012-09-23 20:09

И да. Почты-то как угнали?

Добавлено: 2012-09-23 20:09 ( Ред. 2012-09-23 20:09 )

АвторНе_Слезка :)
И да. Почты-то как угнали?
Прям все почты ???

Были бы все - был бы массовый спам великих размеров ...

Просто дыра с javascript'ом была с самого присамого начала сайта
И не известно как долго это чудило пользуется этой дырой ...
🍌Всё будет банан 🍌