mosCE - uwaga na ciasteczka !!!
Wyniki 1 do 4 z 4

Temat: mosCE - uwaga na ciasteczka !!!

  1. #1
    Przeglądacz
    Dołączył
    03-01-2006
    Wpisy
    82
    Punkty
    16

    Domyślny mosCE - uwaga na ciasteczka !!!

    Witam wszystkich. Mam pewne wątpliwości co do komponentu - edytora MosCE. Otóż chodzi o dodawanie/ edycję/usuwanie obrazów.
    Okienko z obrazkami uruchamia się jako iframe. I to mnie poważnie zaniepokoiło. Okazuje się, że jak uruchomi się link:

    http://twójserwis>.php

    To jeżeli na komputerze znajduje się jeszcze "nieprzeterminowane" ciasteczko admina/użytkowinka to można z niego dowolnie edytować/usuwać obrazy!!!.
    Zatem przestoga, nie dodawajcie obrazów z kafejek

    Przepraszam Cię za ocenzurowanie tej linijki. Informacja jest ważna i przestroga też. Ale linijka zawierała wprost instrukcję dla idiotów, którzy mogliby by np. Tobie za 5 minut zhackować w ten sposób serwis...

  2. Pani Reklamowa
    Pani Reklamowa jest aktywna
    Avatar Panny Google

    Dołączył
    19-08-2010
    Skąd
    Internet
    Postów
    milion
    Pochwał
    setki
  3. #2
    Ten Niedobry Rybik awatar
    Dołączył
    26-09-2005
    Skąd
    Gliwice
    Wpisy
    2 179
    Punkty
    70

    Domyślny

    kto edytowal ?
    daj znac na wewnetrznym forum co i jak, moze warto ten plik zabezpieczyc tym glupim joomlowym zabezpieczeniem, wzbogacic o zabezpieczenie http_referer czy cus :/

  4. #3
    Przeglądacz
    Dołączył
    03-01-2006
    Wpisy
    82
    Punkty
    16

    Domyślny

    No i jak tu dyskutować nad czymś czego nie ma bo zostało wycięte. Ale nic, sprójuję. Otóż przeglądałem wczoraj jeszcze ten temat i co do samych ciasteczek to jednak pół biedy, bo w jakieś tam linijce kodu jakaś tam sesja się nawiązuje.
    Zostaje jednak problem wolnego dostępu przez iframe, ponieważ w ten sposób użytkownik, któremu nie chcieliśmy dać uprawnień do edytora, może w pewnych okolicznościach zyskać kontrolę nad zasobami, do których miał nie mieć dostępu. Bez paniki, to zdarzy się tylko w pewnych okolicznościach ale dotyczy też pluginu do plików - tu też jest iframe, już nie będę podawać linku bo mi go i tak wytnie anonimowy moerator

    Rybik - referer - to w miarę dobre wyjście ale najlepiej byłoby zrezygnować z iframe - zresztą na innym podforum właśnie gadaliśmy o tym a tu masz. No może jestem przewrażliwiony, ale referera da się "nadpisać"

    Pozdrawiam,
    Radek.

  5. #4
    Ten Niedobry Rybik awatar
    Dołączył
    26-09-2005
    Skąd
    Gliwice
    Wpisy
    2 179
    Punkty
    70

    Domyślny

    sprawdz to na wersji 1.0.10, bo cos poprawiali, choc z changeloga nie wynika ze bezposrednio iframe'y ale wiele podobnych "podatnosci"

Reguły pisania

  • Nie możesz zakładać nowych tematów
  • Nie możesz dodawać wypowiedzi
  • Nie możesz dodawać załączników
  • Nie możesz poprawiać swoich postów
  •