Video Google

Sorry że taki syf tu robię ale naprawdę kole mnie w oczy brak profesjonalizmu w wykonaniu vortalu osobie.pl. Przykład poniżej:

Tak, to ja :P

Niestety, system interpretuje html jako kod strony, a nie tekst.
Można to bardzo prosto rozwiązać, np za pomocą strip_tags - http://pl.php.net/strip_tags

Heh, ja to wiem :] Ale nawet strip_tags() można oszukać. Co prawda tylko w IE, ale można :)

Właśnie... Użyłem w swoim profilu z rozpędu kilku tagów i się zdziwiłem, że wszystko działa ;] Jak byłem teraz w górach, to mi przyszło do głowy, czy przez przypadek, twórcy nie zapomnieli powycinać tagów typu script, czy innych ;] I widzę, że już ktoś się tym bawił :P
strip_tags() jest dobra, tylko pytanie, które tagi zostawić, bo ja p, br, strong, em, a i jeszcze kilka bym zostawił.
Pisał ktoś już do adminów?:)

Chwila, pobawmy się jeszcze trochę tym :D

ja w dziale UWAGI DO SERIWISU (z resztą nie tylko tam): http://osobie.pl/index.html?action=fl&sbj_id=19 wkleiłem coś ciekawego, co nie wygląda zupełnie tak, jak to zaplanowałem ale po części spełnia swoje zadanie. Od kilku dni nikt nie zareagował... Jak oni to mają w dupie to trzeba im ładnie pokazać, żeby się wreszcie wzięli do roboty bo serwis jest naprawdę genialny i ma potencjał.

Może w komentarzach wszystkich użytkowników zróbmy coś takiego:

<script type="text/javascript">

alert("Napiszcie do adminów, żeby tyłki ruszyli!");

</script>

@tomilipin - oczywiście że są, lecz PHP to moja słaba strona :). W chwili obecnej można zrobic praktycznie wszystko co leży w specyfikacji HTML'a - ot wstawić reklame, ustawić style. Lecz obawiam się natłoku osób wstawiających adsense, lub inne reklamy kontekstowe w profilu (:wink:). A tak na poważnie - wystarczy np. użycie przekierowania i nieświadomy użytkownik może zostać przekierowany na dowolną strone, skąd już bardzo prosto uzyskać hasło danej osoby :).
@Reinmar - Nie każdemu coś takiego się podoba ;). Pracuje nad pewną wewnętrzną akcją "propagandową", ale szczegóły ujawnie za kilka dni.

Oczym Ty mówisz z tym hasłem :P Reinmar wcześniej też pisał, że wyciągnięcie haseł jest proste. Nie bądźcie śmieszni - nie uda się to ani Wam, ani nikomu innemu. Dlaczego? Tylko i włącznie dlatego, że nie idzie wstawić kodu PHP :) Przekierujesz na inną stronę? To spróbuj na niej uzyskać dostęp do cistaeczek albo sesji ze strony poprzedniej.

Bardzo wku*wia mnie takie puste wymądrzanie się...

Gdyby jednak była możliwość użycia PHP to następująca podpowiedź mogłaby być wartościowa: w cookies przechowywany jest ID sesji oraz klucz służący do autologowania. Normalnie nikt nie jest w stanie korzystać z cookies tworzonych przez inną witrynę niż swoja; bierzmy też po uwagę fakt, że cisteczka tworzone są na dysku usera. Istnieje jednak pewna przeglądarka tekstowa pod Linuxa, w której można ustawić ścieżkę zapisu cookies. Korzystając z przeglądarki tej oraz odrobiny magicznego AJAXa w połączeniu z JavaScriptem, który przeglądarki rozpoznają jako niebezpieczny, można otworzyć każde cisteczko i je odczytać :)
To wystarcza, żeby przejąć własne ciasteczka.
Żeby przejąć cookies na dysku jakiegoś usera, musi on spełnić warunki:
1 - używać Lynxa
2 - wyrazić zgodę na uruchomienie "niebezpiecznego" JavaScriptu, który odczyta cookies.

O ile pierwszy warunek spełnia garstka ludzi na świecie (przypuszczam, że nie więcej jak tysiąc osób - sami testerzy Lynxa) to nikt, absolutnie NIKT z nich nie zgodzi się na uruchomienie kontrolki czytającej zawartość dysku :) Co więcej, nie istnieje uniwersalny JS czytający cookie ponieważ Lynx zapisuje je w lokalizacji wskazanej przez usera a JS nie może sobie tego sprawdzić bo nie ma dostępu do ustawień przeglądarki (inaczej niż w konwencjonalnych przeglądarkach, gdzie cookie są zapisywane w stałym katalogu).

Podsumowując: wyciągnięcie haseł jest niemożliwe :)

A na wszelki wypadek dodam, że każdy szanujący się koder hashuje hasła więc nawet jeśli uda się komuś uzyskać dostęp do bazy danych, w której przechowywane są hasła to wyciągnie co najwyżej coś takiego:
61ee68011350d1cef9317234c4b448367851d3c2
Reinmar, rotare, odczytajcie to, cwaniaki :)

Nie chodzi mi o to:) - po prostu można zrobić przekierowanie - chociażby używając standardowy refresh, do łudząco podobnej strony. Strona ta zapisuje wpisany login oraz hasło i voila. Było już kilka podobnych przypadków w polskim internecie, których celem było uzyskanie haseł użytkowników. Ot, mało prawdopodobne, ale technicznie do wykonania :)