Tylko zalogowani użytkownicy mogą dodawać nowe tematy, komentarze.
Zaloguj się lub zarejestruj się aby dodawać wypowiedzi.
osobnik | treść posta |
---|---|
1 lipca 2006 Sorry że taki syf tu robię ale naprawdę kole mnie w oczy brak profesjonalizmu w wykonaniu vortalu osobie.pl. Przykład poniżej:
|
|
1 lipca 2006 Tak, to ja :P
|
|
8 lipca 2006 Niestety, system interpretuje html jako kod strony, a nie tekst.
Można to bardzo prosto rozwiązać, np za pomocą strip_tags - http://pl.php.net/strip_tags |
|
9 lipca 2006 Heh, ja to wiem :] Ale nawet strip_tags() można oszukać. Co prawda tylko w IE, ale można :)
|
|
10 lipca 2006 Właśnie... Użyłem w swoim profilu z rozpędu kilku tagów i się zdziwiłem, że wszystko działa ;] Jak byłem teraz w górach, to mi przyszło do głowy, czy przez przypadek, twórcy nie zapomnieli powycinać tagów typu script, czy innych ;] I widzę, że już ktoś się tym bawił :P
strip_tags() jest dobra, tylko pytanie, które tagi zostawić, bo ja p, br, strong, em, a i jeszcze kilka bym zostawił. Pisał ktoś już do adminów?:) |
|
10 lipca 2006 Chwila, pobawmy się jeszcze trochę tym :D
ja w dziale UWAGI DO SERIWISU (z resztą nie tylko tam): http://osobie.pl/index.html?action=fl&sbj_id=19 wkleiłem coś ciekawego, co nie wygląda zupełnie tak, jak to zaplanowałem ale po części spełnia swoje zadanie. Od kilku dni nikt nie zareagował... Jak oni to mają w dupie to trzeba im ładnie pokazać, żeby się wreszcie wzięli do roboty bo serwis jest naprawdę genialny i ma potencjał. |
|
11 lipca 2006 Może w komentarzach wszystkich użytkowników zróbmy coś takiego:
|
|
16 lipca 2006 @tomilipin - oczywiście że są, lecz PHP to moja słaba strona :). W chwili obecnej można zrobic praktycznie wszystko co leży w specyfikacji HTML'a - ot wstawić reklame, ustawić style. Lecz obawiam się natłoku osób wstawiających adsense, lub inne reklamy kontekstowe w profilu (:wink:). A tak na poważnie - wystarczy np. użycie przekierowania i nieświadomy użytkownik może zostać przekierowany na dowolną strone, skąd już bardzo prosto uzyskać hasło danej osoby :).
@Reinmar - Nie każdemu coś takiego się podoba ;). Pracuje nad pewną wewnętrzną akcją "propagandową", ale szczegóły ujawnie za kilka dni. |
|
16 lipca 2006 Oczym Ty mówisz z tym hasłem :P Reinmar wcześniej też pisał, że wyciągnięcie haseł jest proste. Nie bądźcie śmieszni - nie uda się to ani Wam, ani nikomu innemu. Dlaczego? Tylko i włącznie dlatego, że nie idzie wstawić kodu PHP :) Przekierujesz na inną stronę? To spróbuj na niej uzyskać dostęp do cistaeczek albo sesji ze strony poprzedniej.
Bardzo wku*wia mnie takie puste wymądrzanie się... Gdyby jednak była możliwość użycia PHP to następująca podpowiedź mogłaby być wartościowa: w cookies przechowywany jest ID sesji oraz klucz służący do autologowania. Normalnie nikt nie jest w stanie korzystać z cookies tworzonych przez inną witrynę niż swoja; bierzmy też po uwagę fakt, że cisteczka tworzone są na dysku usera. Istnieje jednak pewna przeglądarka tekstowa pod Linuxa, w której można ustawić ścieżkę zapisu cookies. Korzystając z przeglądarki tej oraz odrobiny magicznego AJAXa w połączeniu z JavaScriptem, który przeglądarki rozpoznają jako niebezpieczny, można otworzyć każde cisteczko i je odczytać :) To wystarcza, żeby przejąć własne ciasteczka. Żeby przejąć cookies na dysku jakiegoś usera, musi on spełnić warunki: 1 - używać Lynxa 2 - wyrazić zgodę na uruchomienie "niebezpiecznego" JavaScriptu, który odczyta cookies. O ile pierwszy warunek spełnia garstka ludzi na świecie (przypuszczam, że nie więcej jak tysiąc osób - sami testerzy Lynxa) to nikt, absolutnie NIKT z nich nie zgodzi się na uruchomienie kontrolki czytającej zawartość dysku :) Co więcej, nie istnieje uniwersalny JS czytający cookie ponieważ Lynx zapisuje je w lokalizacji wskazanej przez usera a JS nie może sobie tego sprawdzić bo nie ma dostępu do ustawień przeglądarki (inaczej niż w konwencjonalnych przeglądarkach, gdzie cookie są zapisywane w stałym katalogu). Podsumowując: wyciągnięcie haseł jest niemożliwe :) A na wszelki wypadek dodam, że każdy szanujący się koder hashuje hasła więc nawet jeśli uda się komuś uzyskać dostęp do bazy danych, w której przechowywane są hasła to wyciągnie co najwyżej coś takiego: 61ee68011350d1cef9317234c4b448367851d3c2 Reinmar, rotare, odczytajcie to, cwaniaki :) |
|
16 lipca 2006 Nie chodzi mi o to:) - po prostu można zrobić przekierowanie - chociażby używając standardowy refresh, do łudząco podobnej strony. Strona ta zapisuje wpisany login oraz hasło i voila. Było już kilka podobnych przypadków w polskim internecie, których celem było uzyskanie haseł użytkowników. Ot, mało prawdopodobne, ale technicznie do wykonania :)
|