Aragorn vývoj (47 stran zpět) | Diskuze - Aragorn.cz

Amunak 17. listopadu 2010 23:50

tady ovšem nejde o to, zfalšovat něčí "rádoby login", to už toho dotyčného raději rovnou přesměruju na stránku s chybným loginem a aby si to zkusil znovu, že se třeba jen překlepl. Tou dobou už totiž budu já u sebe mít uložené jeho heslo s loginem a mám klid a pohodu s jazzem :-)
Jsem obludný fantazák, jenž z temnoty svého doupěte leze kam se mu zachce a kdy se mu zachce.

apophis 17. listopadu 2010 23:42
přesně... Jako nejjednodušší bych viděl buď změnu cíle formuláře nebo čtení session id a jejich nahrání na cizí server pomocí parametru v přesměrovávané URL.

Na druhou stranu tohle by lehce dokázaly spravit mnou navrhovaná řešení - alespoň by to nebylo tak snadné.
🐺

hater 17. listopadu 2010 15:52

ajax již v dnešní době není vázaný jen na tutéž doménu (cross-domain xml http request), dále tu je možnost vložení "iframe" a v neposlední řadě změna formuláře loginu a všech věcí, které jsou v tomto formuláři navázány.

není to zas až tak těžké, zvláště pokud se někdo jen lehce naučí používat MooTools, které tu na Aragornu máme :-)

Pokud tak moc nutně toužíte vidět ukázku, jsem ochotný tomu těch 20 minut programování věnovat :-)
Jsem obludný fantazák, jenž z temnoty svého doupěte leze kam se mu zachce a kdy se mu zachce.

Drtikol 17. listopadu 2010 16:01
chceš taky? :-)

hater 17. listopadu 2010 15:52
"Takto, pokud znáte způsob jak někomu ukrást heslo, dejte mi (apophisovi) ho prosím do poštolky. Pochopitelně se pokusíme s tím něco udělat."

... budete zisťovať heslá! :D
Hláška roka: "Si to vychytal jak Českej brankář..."

Orcslayer 17. listopadu 2010 14:31
Buri the Great 17. listopadu 2010 14:58
Takto, pokud znáte způsob jak někomu ukrást heslo, dejte mi (apophisovi) ho prosím do poštolky. Pochopitelně se pokusíme s tím něco udělat.

Co se týče mně, tak JS jede v internetovém prohlížeči klienta, pokud vím, není možné ajaxem volat jinou doménu než aktuální doménu serveru, takže pokud někdo neodposlouchává síťovou komunikaci, tak se k němu neoprávněné informace dostávají dost těžko. Jinými slovy JS může volat pouze další skripty, které jsou tady na serveru a dokud někde neoprávněný neukradne heslo k FTP, tak by se nic závažné nemělo stát. Když ukradne heslo k FTP, tak může hromadu dalších věcí.

Je možné, že výše uvedené píšu, protože nevím o nějakém speciálním způsobu, jak to provést. Rád se poučím :-)

Buri the Great 17. listopadu 2010 14:58
díky za podporu :-D

Nikdo ale neříká, že to nejde.
🐺

Ad bezpečnost. Mě už se pár hesel zde vytáhnout podařilo.
http://napady.aragorn.cz

hater 17. listopadu 2010 14:52
souhlasím :) a i bych zakázal vytírání, někdo by mohl uklouznout a zlomit si něco :) (o luxování do kterýho se musim pustit ani nemluva, ty prodlužováky sou zabijáci..)

a já bych zakázal i kaskádový styly :D někdo se pak totiž může leknout co na něj vybafne za stránku :)... simply text je lepší :D

Já bych úplně zakázal nože. Jsou ostré a někdo by mně mohl říznout.

Orcslayer 17. listopadu 2010 14:31
Greasemonkey samozřejmě používám, ale pokud budu mít jeskyni, a do příspěvků budu vkládat obrázky a spoléhat na to, že to všichni jako obrázky uvidí, je k ničemu.

Samozřejmě, vždycky se to bude dát nějak zneužít, třeba podvrhem stránky. Jen ale stále opakuji to, že se o to ještě zřejmě nikdo nepokusil a není k tomu důvod. Koneckonců i kdyby ti někdo ukradl účet, tak co provede? Nejhorší, co se může stát je to, že ti zabije postavy, smaže jeskyně a bude se za tebe vydávat. Je celkem slušná šance, že na to dost brzo přijdeš, a požádáš adminy o nápravu. Útočník bude ztrestán. A pokud se to bude opakovat, možná Apophis zakáže JS v nástěnkách. Ale zatím k tomu není žádný důvod.
🐺

Amunak: Ad odkazání na Apophise: Přesně tak. :) Nebo si můžeš nainstalovat GreaseMonkey a říct ostatním štamgastům daného threadu, že chtějí-li mít to fórum lepší, ať si nainstalují rozšíření a daný skript taky. (Výhoda: Přenositelnost mezi thready. :])

Ad zbytek: Promiň, tvoje neznalost využití XSS (*) asi nebude zrovna relevantní do diskuze. Jde to; konkrétní způsoby, natož skripty, tady opravdu šířit nebudu.
---
* Proti čemuž se jde samozřejmě bránit i na straně uživatele; určitě to není tak, že by šel ukrást jakýkoliv účet. Ale asi těžko to bude argument, proč nechat v aplikaci bezpečnostní díry.

Orcslayer 17. listopadu 2010 14:10
samozřejmě. A když budeš chtít dělat taky něco jiného? Seš odkázán na podporu Apophise.

Nevím, jak by ti mohl někdo ukradnout účet. Když se přihlašuješ, dělej to z hlavní stránky - tam si nikdo nic nenaskriptí. Jediné, co by se dalo ukrást, je session id a to by se dalo snadno ošetřit odhlášením při změně IP adresy.

Takže chceš bezpečnost? Navrhuji povolit přihlašovací formulář jen na systémových stránkách (prostě na těch bez nástěnky) a přidat ověřování IP adresy - pokud se neshoduje, uživatele odhlásit.

Tím se zabrání jak nabourání do účtu, tak odchycení hesla. A pokud seš tak šílenej paranoik, radši si zakaž JS úplně - takhle by ti mohl heslo ukrást kdekdo.
🐺

Voju, Amunak: Nic z vašich argumentů nevylučuje, že kdejaký anonym, kterému bude založena diskuze, nebude mít možnost mně (a nejenom mně) čordnout účet, pokud do jeho fóra vstoupím. Jestli důvěřujete všem lidem, kteří mají a budou mít diskuzi na Aragornu, je to samozřejmě vaše věc, ale já tu důvěru jednoduše nesdílím (a nechápu, proč by ji měli sdílet i všichni ostatní uživatelé bez jiné možnosti, než zakázání JS pro Aragorn komplet). Ano, bezpečnost na webu je omezující, o tom žádná, ale má také jisté benefity. :)

(Jeden tag pro toggle nějakého bloku by nemusel být zas tak složitý.)

Na Aragornu jsou stovky skriptů, které používají javascript. Nejčastější je použití funkce hide. Pak jsou tam i složitější věci, jaké dělám třeba já. Nevidím důvod to zakazovat - ještě to nikdo nezneužil a řekl bych, že ani nemá důvod.

Pokud by se to mělo zakázat, tak by spousta uživatelů otravovala s žádostmi o přidání speciálních "tagů" (dejme tomu něco jako BBCodů) do nástěnek, aby se dalo zprostředkovat třeba to skrývání a tak. A stejně to nebude tak plnohodnotné, jako plná podpora JS.
🐺

Jistě. Ale pak by mě museli zatknout za znásilnění, protože mám tu možnost...

JS na nástěnkách v A3 běhá... uff... sakra dlouho a nebyla žádná aféra co by něco udělala zlého, ba naopak. Tudíž, jaký je důvod zakázat javascript ?... nakrknout ty co chtějí mít více než obyčejnou nástěnku v jeskyních či diskuzích ? ...

(Edit: Zamezením samozřejmě myslím "zamezení pro uživatele".)

Voju: Nechápu. Nic jako že JS není nebezpečný jsem nenapsal. Zamezení JS tak, aby nebyl nebezpečný je prosté - zakázat ho úplně (asi nikdo nebude psát pro web ala Aragorn vyhodnocovač JS, aby poskytl jen takové API, které není "nebezpečné").

Pokud je problém ve formulaci "není jen nezneužitelná hračka", tak sorry za špatné vyjádření - má to smysl takový, že JS lze použít i jinak než jako neškodnou hračku (třeba jako škodnou hračku). :)

Orcslayer 17. listopadu 2010 13:22
přečti si co píšeš....

" Javascript není nebezpečný, ale Zamezte ho tak, aby nebezpečný nebyl ... "

V tom případě navážu na Drtikola, nápad č. 3:

Zamezení vkládání javascriptu, tzn. co se týče tagů a jejich atributů zavedení whitelistu. (HTMLPurifier by to měl zmáknout.)

Amunak: Dík za odpověď, ale JS není jen nezneužitelná hračka. A pod zneužitím si nepředstavuji ptákoviny typu "zpruď uživatele stovkou alertů" nebo "přesměrování na porno server" (ne že by přesměrování taky nešlo zneužít).