Autor Zpráva
Pavel Krátký
Profil *
Zdravím všechny - Ahoj!

Téma jsem založil "zde", tedy do rubriky "Nezařaditelné dotazy", rubriku "Bezpečnost" apod. jsem hledal marně:

Problém: web v ASP, podstránka s informacemi pro BFU (tedy neautorizovaný klient) a možnost nahrání fotek a videí. Je to web Obecně prospěšné společnosti a ty lidi dělají úžasnou práci a mě osobně pomohli s dotací na naší místní Sokolovnu. Mám je tedy rád.

Dostal jsem včera ten odkaz a hele! Můžu tady JÁ (= BFU) nahrát video? Fotku? A co ještě? Z nedostatku času jsem to zkusil, upload videa jel, ten jsem, stopnul - video mého Bandoga by asi nikoho neurazilo, ale nemám od něj souhlas :-) a jako fotku jsem použil jejich vlastní logo, které tam ničemu nevadí.

Napsal jsem ředitelce ops a stručně jí požádal "předejte to vašemu webmastrovi". Dnes ráno mi od něj přišel, tak trochu ironický, email typu "a hele frajere a čemu to jako vadí, že si tam někdo nahraje ´jen´fotku a ´jen´video???"

Chápete? A to je i moje otázka. Mám taky rád tuhle diskusi a vy jste mi tu už párkrát pomohli, tohle je spíš z mojí "lenosti" (a pro moderátory jen takový skromný nápad na tu rubriku "bezpečnost" nebo něco takového).

Já osobně bych k tomu předeslal, že pokud by byli opradu extra líní a nekontrolovali "přípony" uploadů, pak je to jasný. Nahraju tam skript, nějakým způsobem (odjiunud) ho spustím a je vymalováno.

Ovšem problém je trochu jinde: napsal jsem "kolegovi" - co kdyby tam někdo nahrál "jen" porno (fotky/videa) nebo "jen" svou reklamu nebo to "jen" zaspamoval? Neuškodilo by to trochu "jen" pověsti té OPS? Těším se na jeho odpověď a na vaše tipy a postřehy také, má-li někdo čas si dovolit ten "luxus" :-)

Díky, Pavel
Camo
Profil
Pavel Krátký:
Tu je jeden zaujímavý článok ohľadom tohoto.
Pavel Krátký
Profil *
Camo:
Ha ha, já věřím na náhody asi tak stejně, jako že mi včera odpadkový koš vyžral Yetti. Ne, byl to můj pes :-)

Ten článek jsem právě dočetl a je (pro mě) velmi zajímavý. Nejsem žádný "hacker" natožpak "cr.a.cker", já naopak radím laikům, na co si dát pozor a tak i využívám tuto příležitost ("náhodu") se něco víc naučit.

Děkuju!

PS. Pan webmaster se mnou komunikuje a chová se slušně. Vysvětlil jsem mu, že něco jako "opomenutí" či "přehlédnutí" je velmi nebezpečné, jsou případy, kdy si "kluk šel sednout", protože zfušoval nějakou "VIP" aplikaci.

A taky jsem mu poradil, že věci, jako "autorizace / verifikace" PATŘÍ ZE ZÁSADY DO CONTROLLERU (resp. volání autorizačního objektu / procedury / knihovny) a provádí se VŽDY A VŠUDE, ať už na HomePage nebo kdekoliv jinde, např. na podstránce určené pro informování "hodných" spoluporacovníků té OPS organizace :-)

Vaše odpověď

Mohlo by se hodit

Příspěvky nesouvisející s webem budou odstraněny.

Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm:

0