Stor Piczo-exploit funnet.

[Gjest medlem-77217]

Etter to minutter finner jeg ut hvordan jeg gjør det. Ca. I allefall. Ikke testet.

 

Man skal aldri bruke javascript. Det er nesten (om ikke noe) ingenting javascript kan som andre språk kan bra / bedre.

Endret 21. mars 2007 av medlem-77217

[Dahl]

Man skal aldri bruke javascript. Det er nesten (om ikke noe) ingenting javascript kan som andre språk kan bra / bedre.

8202650[/snapback]

Tull. Javascript kan være veldig nyttig til det det er beregnet til - skripting på klientsiden. Når man imidlertid bruker et klientspråk til å gjøre oppgaver som er beregnet for skript på serversiden, oppstår det problemer.

[Peter]

Etter to minutter finner jeg ut hvordan jeg gjør det. Ca. I allefall. Ikke testet.

 

Man skal aldri bruke javascript. Det er nesten (om ikke noe) ingenting javascript kan som andre språk kan bra / bedre.

8202650[/snapback]

Du kommer nok til å henge etter resten av verden nå som ajax, prototype og andre biblioteker har stormet inn i webverdenen. En skikkelig kodet side bruker ofte Javascript til å gjøre opplevelsen bedre for brukeren, samtidig som den tar hensyn til brukere som ikke har javascript tilgjengelig.

[Gjest medlem-77217]

Du kommer nok til å henge etter resten av verden nå som ajax, prototype og andre biblioteker har stormet inn i webverdenen. En skikkelig kodet side bruker ofte Javascript til å gjøre opplevelsen bedre for brukeren, samtidig som den tar hensyn til brukere som ikke har javascript tilgjengelig.

8202723[/snapback]

Ajax er ikke det samme som JavaScript. Det er bassert på JS, men er selv mye graftigere og bedre.

 

Tull. Javascript kan være veldig nyttig til det det er beregnet til - skripting på klientsiden. Når man imidlertid bruker et klientspråk til å gjøre oppgaver som er beregnet for skript på serversiden, oppstår det problemer.

8202674[/snapback]

Kanskje, har aldri oppstått noen problemer slik til meg.

Endret 21. mars 2007 av medlem-77217

[Dahl]

Du kommer nok til å henge etter resten av verden nå som ajax, prototype og andre biblioteker har stormet inn i webverdenen. En skikkelig kodet side bruker ofte Javascript til å gjøre opplevelsen bedre for brukeren, samtidig som den tar hensyn til brukere som ikke har javascript tilgjengelig.

8202723[/snapback]

Ajax er ikke det samme som JavaScript. Det er bassert på JS, men er selv mye graftigere og bedre.

Sorry, men nå driter du deg ut. Det stemmer at AJAX ikke er det samme som Javascript, men får jeg minne deg på hvilke to teknologier AJAX benytter?

 

For de uvitende: AJAX står for Asynchronous Javascript and XML, altså benyttes Javascript og XML. XML er ikke et skriptspråk, men et markup-språk. AJAX er ikke en teknologi, det er bruk av JS og XMLHttpRequest.

 

Du skriver at man aldri skal bruke JS. Hvordan skal man da kunne bruke AJAX?

Endret 21. mars 2007 av Dahl

[Matsemann]

Om man kun kjører validasjon på klienten er det jo lett å komme rundt. Greit nok med et javascript som sier at du ikke kan ha #'- osv. i et brukernavn istedet for å gå en runde innom serveren, men det servere mottas må jo sjekkes for det.

 

Piczo, piczo...

[Dahl]

Et Javascript som stopper tegn som < og > er akkurat like sikkert som å ikke ha noen slik beskyttelse i det hele tatt. Pesoner som er ute etter å finne sikkerhetshull har uansett null problem å komme seg rundt JS-skript, da de er klientbasert. Som du sier, den eneste måten man kan beskytte seg er å ha alt sikkerhetsrelatert på serversiden.

[loathsome]

Javascript er veldig nyttig, og jeg bruker det masse - men IKKE til validering av input osv. Javascript kan f. eks være nyttig dersom jeg vil skjule elementer på siden "on the fly" og mye annet - for eksempel mitt nyeste prosjekt; "Live search" - resultatene dukker opp etter hvert som brukeren skriver.

 

Å si at JS aldri skal brukes er bare tøv.

[Gjest medlem-77217]

Javel. Det... var kanskje.. litt børn.. menne.. JEG BRUKER IKKE DET! HAH!

/poke

 

...bæsj diskusjon...

 

 

Men seriøst. Det er ikke første gang det er noe tull med at sier blir føkka pga. JS.

[aslet]

Jeg fikk iallefall til å slette innlegg på en fremmed piczo-gjestebok ganske enkelt.

Å bruke JS på klientsiden til adm-oppgaver er farlig.

[Bakke]

Må si meg enig med SparKnekt her, JS på klientsiden til bruk av admmin fungsjoner er farlig vis du ikke vet hva du driver med...

 

Edit: Piczo vet tydelig vis ikke helt hva di driver med

Endret 21. mars 2007 av mhbakke

[Magnus Holm]

Hmm... Synd at det går så treigt med piczo.com gjennom Tor :/

 

 

Bare kødda

 

[Matsemann]

Må si meg enig med SparKnekt her, JS på klientsiden til bruk av admmin fungsjoner er farlig vis du ikke vet hva du driver med...

8206607[/snapback]

Og om du vet hva du driver med så gjør du alt slikt på server-siden. Om noen har lest "Innocent Code - a security wake-up call for web programmers" av norske Sverre H. Huseby så er det mange skrekkeksempler. En av dem er da alle brukernavn og passord ligger i kildekoden, og et javascript sjekker om noe matcher. Trodde jeg skulle dø :!:

Og det skulle være en stor nettside...?

Endret 21. mars 2007 av Matsemann

[loathsome]

Tror du bør ta en titt på reglene, Exogen.

 

Og dessuten er det ikke dette "normale" JS-hullet jeg har funnet - for nte gang.

 

edit; And he went away :!:

Endret 22. mars 2007 av loathsome

[Dustwave]

Elskbart med alle Web 2.0 freaksa rundt omkring som snakker om AJAX og ikke aner hva det står for engang priceless Fagerhaug, you made my day!

[loathsome]

kjeften, ajax er bedre en js og mye kraftigere og bedre og har stiligere effekter

[Dahl]

kjeften, ajax er bedre en js og mye kraftigere og bedre og har stiligere effekter

8216713[/snapback]

Nå er det på tide at du legger deg, du har litt for tørr humor. :--)

[loathsome]

Ja - god natt opp tidlig i morra.

[Quattro7]

Nå ser det du som om piczo har skjerpa inn på sikkerheten, ingenting av det som er funnet ut av "hacks" fungerer lenger...