Тема устарела
Количество: 34
Страница: <<первая <назад | 1 | 2 | 3
 | |  |
| | Анализатор боев "от dP" | 01.09.2009 01:51:02
dP | А Вы считаете что это по-человечески не имея опыта в программировании подставлять людей, которые Вам доверяют? ;)
Вы даже эту дыру, считайте, не заткнули, а сколько их еще осталось я даже представить боюсь.
И, более того, при всем своем опыте программирования я считаю что в данном случае избавиться от XSS-уязвимости практически невозможно. А Вы выставляете абсолютное решето и делаете вид что все под контролем.
З.Ы. Поскольку рабочую версию той ссылки никто кроме Ле_Чака не видел, поясню что там был ярчайший пример исполнения произвольного javascript кода прямо на странице статистики (!даже не истории боя!). Это одна из опаснейших уязвимостей для пользователей. Судя по слухам, именно через такие механизмы рассылают спам всем вашим друзьям вконтакте (что потом называется "меня взломали"). |
|
| | 01.09.2009 03:07:37
Le_Chak | Ок отвечу.
Мы все уважаем ваш профессионализм. У вас хороший сайт. Правда хороший.
Но раз уж зашла речь о такой вещи как подстава близких доверяющих людей, то нет ни какой гарантии что ваш сайт уже не собирает любую желаемую информацию с компов пользователей и эти компьютеры уже не живут своей собственной жизнью. Это ведь возможно. Не так-ли? У человека, помогающего делать вам анализатор, очень скверная репутация именно в этой области.
Что касается моего анализатора, то он еще в стадии разработки.
Там написано об этом жирными буквами.
И пока единственный пострадавший от своих ошибок - это я. об этом подробно описано на Асгардовском форуме. Не вы первый заталкиваете туда посторонний код и скорее всего не последний.
В итоге все будет учтено на сколько это возможно.
И на будущее я всеже предлагаю цивилизованно подходить в обмену информацией об уязвимостях.
Если сам полезу искать дырки в вашем анализаторе или кто-то мне о таковой сообщит - вы будете оповещены заранее, до выставления этого на всеобщее обозрение.
С уважением, Le_Chak |
|
| | 01.09.2009 13:06:24
dP | Что-то я начал отвечать, написал трактат... Фтопку... Короче)
Гура к моему анализатору можете особо не приплетать - доступа к коду у него нет, он помогал с дизайном. Я говорю что ничего зловредного мой сайт не делает. Отчасти можете проверить, а в оставшееся поверить.
Что касается цивилизованого способа... К Вашему сайту он не относится ибо у Вас решето. При всем моем уважении (серьезно) иначе я это назвать не могу. И я сам не до конца представляю как это вообще можно исправить с сохранением идеалогии. Посмотрите страницу истории, там код можно куда угодно запихивать. Статистика еще ладно, ее хотя бы есть шансы залатать.
Да, это в большинстве своем склока ни о чем. Ибо людей в сказке способных реально что-то у Вас поломать можно пересчитать по пальцам. Из них примерно 0 целых 0 десятых будут этим вообще заниматься. Но сути вопроса это не меняет. |
|
| | 01.09.2009 13:40:47
Le_Chak | | | dP писал(а):| Что-то я начал отвечать, написал трактат... Фтопку... Короче) |
| |
Абсолютно согласен. Что-то нервы начали друг другу трепать зазря ) "Дырки" залатаю в любом случае. Что сам не смогу сделать попрошу помочь знакомых. Если будут предложения или вопросы пиши в аську: 361-468-288 Le_Chak |
|
|
| |
 | |  |
Страница: <<
первая <
назад |
1 |
2 |
3
