Posted By: pivson (Pijte pivo, je zdrave !!!) on 'CZwww'
Title:     Re: fajly ke stahnuti nepristupne pres URL
Date:      Thu Apr 11 09:49:33 2002

> > > Hlavne nevyzaduj cookies :) Pak si to hodne lidi nestahne :)
> > 
> > ???
> 
> tipuju ze "'guruove' co se vyznaji v bezpecnosti zakazuji cookies"...
> "ono vubec guruove zakazuji vsechno"
Dela ti rejpani dobre :) ? Neni to zas tak moc neni moc pravda, ale proste 
cookies maji spoustu zaporu. Este snesu 'per session cookies', ale aby si 
nekdo trakoval co jak kde u nich na webu delam, to opravdu nemusim :o) [to je 
std praxe... i u nas] 

Co se tyce vypinani vseho, pokud chces bejt trochu secure, tak veci jako 
ActiveX a podobny povypinany mit musis, resp. minimalne na zeptani. Staci se 
podivat napr. na oznaceni 'bezpecne pro skriptovani' (pak se IE kdyz je mas 
zaply) vubec nepta a smahne je tam (na to uz byla zaplata, je to dyl). A 
takovejch veci je vic : Preteceni buferu - a IE se pak nepta - pokud mas 
treab activex povoleny na zeptani (pokud jsou zakazany je vse OK). Jen 
podotykam, ze ActiveX je spusteni ciziho kodu na svym pocitaci a to slozi 
jakejkoliv OS. Unixy, Linux, Windoze. Kdyz pustis tvuj kod, system je 'tvuj' 
- je to jen otazka 'casu'. Kazdej OS ma lokalni "root" exploity. Porad se 
jich dost opravuje, ale porad jich dost pribejva :o) Staci si nechat posilat 
tejdeni sumary bugtraqu... 

Obecne (z hlediska uzivatelu) je cookies pro logovani dira jak krava, protoze 
cookies se daji velice jednoduse krast. Hodne webu se autorizuje, priradi 
cookies (je jedno jesli http nebbo https) a podle cookies se pak 
identifikujou. Pokud danej clovek neni up-to-date s security packama, nebo 
proste MS jeste (related pro IE samozrejmne) jeste nezaplacnul, tak se 
cookies da strasne jednoduse ukrast. Pokud v kombinaci mas to, ze se 
uzivatelovy ukazuje 'html' (a neosetris tagy) tak je to krasa. Moc produktu 
uz takhle melo diru - administratorivy se ukradlo cookies a hotovo. A jako 
tvurce webu musis predpokladat, ze ty lidi budou mit 'release bez zadnyho 
packu' - standardni vec... A podivej se na svuj adresar cookies, kolik webu te 
identifikuje jen podle cookies... Neni to vlastne 'vina' webu/servru, ale na 
nej to dopadne.... 

S nejakou session ID je to obdobny, nicmene, ta je skutecne a vzdy jen na 
'session'.

A v obou pripadech se to stejne musi zprahnout s IP adresou - dost se snizuje 
pravdepodobnost, ze nekdo ukradne cookies. Kdyz jo, je to k nicemu. Coz 
samozrejmne neresi problem proxy. Ale je to lepsi nez nic. Teda pokud pomoci 
cookies delas vic ze nes napises 'dobry den frantisku'... 

A prave cookies, co nejsou 'per session' tohle "neumoznujou" (nejde to) -> daj 
se orpavdu hodne jednoduse ukrast. A kdyz uz ne dirou v IE, tak majlovacim 
klientu (tech je taky dost), ..... 

Proto treba ja nemam cookies povoleny a ani hafo lidi co znam. Proto jsem 
podotkl, ze .... Nic vic nic min. A vsechno povipinany nemam, na dost veci se 
mne pta :o) 

Tesim se az se nam rozjede web, udelali sme si tam statistiky kolik lidi ma 
zaply skripty/cookies/etc. tak sem zvedavej jak to bude vypadat po mesici 
provozu... Nema nekdo neco takovyho uz rozjety ? Ja jsem hlavne zvedavej, jak 
se to bude lisit podle 'casti' webu (dev/busines/...) 

no flame...


Pivson I a posledni, z bozi vule pivar

    A co budou delat cesi ???
                                     Deme na pivo !

Search the boards