mboost-dp1
unknown
Hvis man kigger på kilden som er angivet for artiklen så henviser de til:
http://www.zapthedingbat.com/security/scriptinject...
hvor man kan teste.. Og ja min IE faldt i med begge ben! Testede lige min firefox og den faldt også i. Selv om jeg bruger spoofstick (toolbar til at fortælle hvilken hjemmeside man er på) :(
Men håber mozilla snart kommer med en rettelse!
http://www.zapthedingbat.com/security/scriptinject...
hvor man kan teste.. Og ja min IE faldt i med begge ben! Testede lige min firefox og den faldt også i. Selv om jeg bruger spoofstick (toolbar til at fortælle hvilken hjemmeside man er på) :(
Men håber mozilla snart kommer med en rettelse!
Og hvad var meningen at den skulle gøre?
Vise en side, og så skulle der f.eks. bare stå www.mastercard.com oppe i adresselinjen??
i min kommer følgende længere linje...:
sager
Vise en side, og så skulle der f.eks. bare stå www.mastercard.com oppe i adresselinjen??
i min kommer følgende længere linje...:
sager
Safari, Mozilla og Firefox er alle sammen ramt af dette (på Mac platformen).
Dog ser det ud til at Opera ikke lider af dette (Opera til Mac. Dvs. ligesom Windows versionen)
Dog ser det ud til at Opera ikke lider af dette (Opera til Mac. Dvs. ligesom Windows versionen)
Alle skift over til Opera nu så :)
(Det kunne jo ikke gå hurtig nok at skifte over til Firefox da det blev opdaget i IE :)
Som sagt...der er fejl i alle browsers....den næste bliver måske opera.
Klik på links med forsigtighed og kun links som er givet af nogen du stoler 100% på og besøg kun sider som du stoler på.
(Det kunne jo ikke gå hurtig nok at skifte over til Firefox da det blev opdaget i IE :)
Som sagt...der er fejl i alle browsers....den næste bliver måske opera.
Klik på links med forsigtighed og kun links som er givet af nogen du stoler 100% på og besøg kun sider som du stoler på.
#9 hvilken browser du vælger andre end IE er da kun bedre end at blive ved IE! :D
så om det er opera, netscape, firefox eller lynx :D er helt op til dig selv :)
så om det er opera, netscape, firefox eller lynx :D er helt op til dig selv :)
#9
Ehm? Opera er da sikkert også smækfyldt med huller, er jo bare et spørgsmål om at finde dem. Det samme kan siges om alle andre browsere. IE er bare den mest ramte fordi folk der finder disse exploits har mest interesse i at finde dem i IE, da den stadig er den mest brugte browser.
Ehm? Opera er da sikkert også smækfyldt med huller, er jo bare et spørgsmål om at finde dem. Det samme kan siges om alle andre browsere. IE er bare den mest ramte fordi folk der finder disse exploits har mest interesse i at finde dem i IE, da den stadig er den mest brugte browser.
Er det bare mig, der ikke kan se, hvad browseren har med dette at gøre? Den gør da præcist hvad den skal gøre.
Det gør min Firefox i hvert fald. Den viser den valgte url i adresse-linjen, henter siden, og udfører javascripts på siden.
Sikkerhedshul? Ja, men på server-siden, ikke browseren.
Det gør min Firefox i hvert fald. Den viser den valgte url i adresse-linjen, henter siden, og udfører javascripts på siden.
Sikkerhedshul? Ja, men på server-siden, ikke browseren.
# 12
Uhm... Der må jeg give dig ret.
Browseren gør da nøjagtigt som den for besked på - og det må da helt klart være op til serveren at håndtere den URL som blive sendt til den.
Uhm... Der må jeg give dig ret.
Browseren gør da nøjagtigt som den for besked på - og det må da helt klart være op til serveren at håndtere den URL som blive sendt til den.
#12-13: Nej for browseren går ikke til domainet som står først men henter javascriptet fra http://www.zapthedingbat.com/security
Det skal køre på folk som stoler på det domaine i ser i starten og ikke hvad som står sidst i "URLen"
Svare til det gamle trik hvor man lavede domainet som man ville fake som et login i URLen. (login/Password foran URL)
Det skal køre på folk som stoler på det domaine i ser i starten og ikke hvad som står sidst i "URLen"
Svare til det gamle trik hvor man lavede domainet som man ville fake som et login i URLen. (login/Password foran URL)
#12 & #13 helt korrekt, som nævnt er der ikke tale om en decideret fejl. Men hvor mange tror du er intereseret i at ens domæne kan forfalkes, selv garvede folk der tilgår følsomme data online vil typisk:
1) Scanne adresse linien for at se om man er på det korrekte domæne.
2) Checke om det er en sikker forbindelse.
Er ikke just med til at promovere brug af internettet til kommercielle formål.
1) Scanne adresse linien for at se om man er på det korrekte domæne.
2) Checke om det er en sikker forbindelse.
Er ikke just med til at promovere brug af internettet til kommercielle formål.
Lad os lige gøre det klart igen, da det lader til at visse personer lader sig narre, selvom nyheden gør det klart:
Dette er IKKE en fejl i browseren - Det skyldes at mastercard og mange andre sites er "slamkodere" og laver deres sites på en sikkerhedsmæssig dårlig måde.
Det skyldes at man, ved at sende folk via en url, kan indtaste HTML, og når sitet så fremviser en side udfra den direkte indtastede data, så frasorterer den ikke HTML, og således kan en "ondsindet" person lokke dig til at gå ind på adressen, taste noget ind i den html som han lavede via URL'en, og tage dig i røven :)
Dette er IKKE en fejl i browseren - Det skyldes at mastercard og mange andre sites er "slamkodere" og laver deres sites på en sikkerhedsmæssig dårlig måde.
Det skyldes at man, ved at sende folk via en url, kan indtaste HTML, og når sitet så fremviser en side udfra den direkte indtastede data, så frasorterer den ikke HTML, og således kan en "ondsindet" person lokke dig til at gå ind på adressen, taste noget ind i den html som han lavede via URL'en, og tage dig i røven :)
Det er IKKE et browser problem - det er folk der skriver skod websites!
Et ASP.NET site i .NET 1.1 vil f.eks. throwe en exception hvis man prøver den slags, medmindre man explicit tillader brug af
Et ASP.NET site i .NET 1.1 vil f.eks. throwe en exception hvis man prøver den slags, medmindre man explicit tillader brug af
Det er da tydeligt det ikke er browserens skyld.
Nu må I lige tage jer lidt sammen og ikke råbe ulven kommer inden problemet er analyseret korrekt. Jeg kan da finde 10.000 andre sites der ikke beskytter deres querystring ordentligt, skal vi også have nyheder om dem?
Denne nyhed er gennemgående forkert og bør slettes.
Nu må I lige tage jer lidt sammen og ikke råbe ulven kommer inden problemet er analyseret korrekt. Jeg kan da finde 10.000 andre sites der ikke beskytter deres querystring ordentligt, skal vi også have nyheder om dem?
Denne nyhed er gennemgående forkert og bør slettes.
Jeg bruger Firefox, men oplever ikke fejlen.
Jeg har JavaScript slået fra, der findes aligevel ikke noget der er mere tåbeligt end JavaScript.
Og som de andre siger, det er dumt at skrive det er en browser fejl.
Jeg har JavaScript slået fra, der findes aligevel ikke noget der er mere tåbeligt end JavaScript.
Og som de andre siger, det er dumt at skrive det er en browser fejl.
#21: Problemet ligger ikke i Javascript, omend det gør problemet lettere at udnytte.
barclaycard.co.uk kan f.eks. udnyttes således: http://tinyurl.com/4wz73
Url'en bliver en tand længere men man kan nok smide en iframe ind et sted så al HTML'en ikke skal stå i url'en. Så skal den HTML jeg brugte bare byttes ud med en form til username og password der sender til en 'ond' server og du har dit Javascript-løse exploit.
#9: Lad være med at lave sikkerhedsanbefalinger på baggrund af sikkerhedsfejl du ikke forstår.
barclaycard.co.uk kan f.eks. udnyttes således: http://tinyurl.com/4wz73
Url'en bliver en tand længere men man kan nok smide en iframe ind et sted så al HTML'en ikke skal stå i url'en. Så skal den HTML jeg brugte bare byttes ud med en form til username og password der sender til en 'ond' server og du har dit Javascript-løse exploit.
#9: Lad være med at lave sikkerhedsanbefalinger på baggrund af sikkerhedsfejl du ikke forstår.
#24: Det står ikke direkte, men det lugter meget af det.
"denne gang rammes både IE og Mozilla.", "Mozilla.org skulle dog i øjeblikket", "Både MSIE på WinXP SP2 samt Mozilla Firefox 0.9.1 er begge sårbare"
Der står en masse om browsere, men intet om det, det egentlig drejer sig om: Sjusket programmering.
Hvorfor overhovedet snakke om browsere, når det intet har med browsere at gøre? Problemet findes i ALLE browsere, og jeg kan ikke forestille mig en (god) løsning, der kan implementeres i en browser.
"denne gang rammes både IE og Mozilla.", "Mozilla.org skulle dog i øjeblikket", "Både MSIE på WinXP SP2 samt Mozilla Firefox 0.9.1 er begge sårbare"
Der står en masse om browsere, men intet om det, det egentlig drejer sig om: Sjusket programmering.
Hvorfor overhovedet snakke om browsere, når det intet har med browsere at gøre? Problemet findes i ALLE browsere, og jeg kan ikke forestille mig en (god) løsning, der kan implementeres i en browser.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund