Registrace nového uživatele     Návod     Kluby     Archív  Lopuchu     Lopuch.cz  

Tolik rozruchu
jen v Lopuchu

Lopuch.cz

Jméno:
Heslo:
Podpora LCD:
 
Klub Web [ŽP: neomezená] (kategorie Programování) moderuje Kdokoliv.
Archiv
Domovská stránka aktualizována 28.7.2019 17:46
  
  Nastavení klubu     Nastavení práv     Homepage     Anketa     Přítomní     Oblíbené     Lopuch     Kategorie  
autor: 
text: 
vyplnit a 
Help
 Titulek, text příspěvku  
Opište pozpátku následující text bez prostředního znaku: izxdcab
[ 4075 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  
johny_g Johny_G - Relaxační terapie pro lopušáky ZDARMA! 25.8.2009 21:13  6822
mpts [6821]: Znáš to. Nežereš maso, nezformuluješ myšlenku. Nebo tak nějak.
mpts mpts Je to jinak, ba přesně naopak! 25.8.2009 20:42  6821
tvx [6813]: Rozumí někdo tomu, o čem to tvx mluví? Já to rozluštit nesvedu.
mira Mira Optimista se učí anglicky - pesimista rusky a realista střílet... 25.8.2009 19:47  6820
zadnej spam nebude, emaily se zpoplatni, je to pravda, videl jsem to v televizi !!!
kdokoliv Kdokoliv Nevidím důvod dělat cokoliv bezdůvodně. - http://kkl2401.wz.cz 25.8.2009 18:00  6819
OpenIDJeden teoretictejsi dotaz, jestli tu nekdo vidi do OpenID (nebo i jinych univerzalnich prihlasovacich protokolu, jde spis o ten celkovej princip). Chtel bych se ujistit, ze si nasledujici zpusob utoku predstavuju spravne a nedelam nekde nejakou myslenkovou blbost.

Rekneme, ze se v budoucnu OpenID skutecne hodne rozsiri a bude se pouzivat prakticky vsude, vcetne napriklad stranek, kam vlezu jednou a vickrat se uz nebudu planovat vracet (napriklad nejaky obchod, kam ale neplanuju chodit pravidelne). Muze nastat tato situace?
Mam Stranku 1 pouzivajici k autentikaci OpenID, rekneme pro jednoduchost GMail. V minulosti jsem pro prihlasovani k GMailu pres OpenID zvolil, ze k tomuto webu se to ma uz v budoucnu prihlasovat bez ptani (predpokladam, ze to spousta/vetsina lidi dela/bude delat). Pak mam Stranku 2, utocnika, rikejme mu EvilShop.com. Rekneme, ze zajdu na EvilShop, najdu tam neco, co me primeje se prihlasit, a pouziji sve OpenID. Probehne cely proces presmerovani na OpenID providera, prihlaseni, atd, ktery skonci tim, ze jsem prihlasen. V tuto chvili utocnik zna moje OpenID, rekneme, ze si tipne, ze pod stejnym OpenID se prihlasuju k GMailu a ze jsem zvolil, ze k GMailu se smim prihlasovat bez ptani, a posle mi (rekneme s "korektni" strankou nabidky zbozi) javascriptovy kod, ktery neco nehezkeho na tom GMailu vyvede (napr. zacne rozesilat spam).
V podstate takove vylepsene CSRF -- vylepsene o to, ze normalni CSRF potrebuje, aby clovek byl aktivne na cilovem webu v nejakem jinem okne prohlizece prihlasen, zatimco tady tohle vyuzije jednoduse toho, ze v budoucnu budou vsichni na vsechno pouzivat jedine OpenID a budou vlastne na vsech webech "neustale prihlaseni".
Zatim mi teda prijde, ze "postaci", kdyz cilovy server nebude vuci CSRF zranitelny a ze napriklad rozesilat spamy tak asi nepujde, protoze takhle nejde posilat POST pozadavky, coz budou ty postovni aplikace nejspis vyzadovat, ale nerad bych se mylil.

Nejaky komentare k tomu, co prehlizim (at uz ve smyslu, ze je to cely blbost, nebo ve smyslu, ze pujdou delat jeste horsi veci)?
bighead BIGHead Pořádáte akci, vyzkoušejte - naše moderátory 25.8.2009 14:51  6818
jj dá se pozastavit - je to v nastavení služby "Historie webu".
case Case Greatest comedy of the generation of - blah blah ever to do a thing on a thing. 25.8.2009 14:48  6817
Nejsem si jistý, že se vypíná...
bighead BIGHead Pořádáte akci, vyzkoušejte - naše moderátory 25.8.2009 14:44  6816
Máš pravdu, něco takového tam je - zapoměl jsem. Tak snad najdu, kde se ten "děsně mazaným algoritmus" vypíná.
case Case Greatest comedy of the generation of - blah blah ever to do a thing on a thing. 25.8.2009 14:29  6815
"Proč, když jsem přihlášený, tak jsou výsledky výrazně jiné, než když jsem odhlášený..."

Jiné nastavení? Plus pokud se nepletu, tak Google vyhodnocuje, na jaké stránky chodíš z jeho výsledků nejčastěji, a nějakým děsně mazaným algoritmem se pak snaží v budoucích výsledcích podobné typy stránek upřednostňovat.
bighead BIGHead Pořádáte akci, vyzkoušejte - naše moderátory 25.8.2009 14:23  6814
vyhledávače výsledkyCo vidíte jako nejzásadnější rozdíl mezi google a seznam co se výsledků vyhledávání týče? Na co nejvíc ten který hledí? S Googlem tak nějak vím, ale se Seznamem si rady nevím.
A pak ještě otázka k Googlu. Proč, když jsem přihlášený, tak jsou výsledky výrazně jiné, než když jsem odhlášený...
tvx tvx Myslet si, že svět je JEN takový, jak - ho v daný čas můžeme pochopit je hloupé. 25.8.2009 14:09  6813
Hodnotici hvezdicky - validninemate nekdo XHTML transitional VALIDNI a soucasne snadno pouzitelny bez Javascriptu!
Hodnotici hvezdicky na web?
huh huh 24.8.2009 18:44  6812
Zase nechci nikoho od SilverStripu odrazovat, člověk najde nedostatky u všeho, jakmile začne něco doopravdy používat. Navíc já jsem dost nespokojený typ.
puschpull puschpull být nad věcí, pohoda a klid ... - AV-Com (Homepage) 24.8.2009 18:31 - Oblíbené kluby (17:49) 6811
huhdík za tyhle postřehy

jak koukám, tak Etomite a Websitebaker jsou pro většinu mých účelů zatím stále asi nejlepší volba
:-)
huh huh 24.8.2009 17:44  6810
Tak spíš to jsou takový drobnosti
a) v propagačním videu jsou ukazovány věci, které současná verze už neumí -- konkrétně tam není editor obrázků (bohužel již trvale; možná bude integrace s nějakým online editorem); nelze ani nahrávat obrázky z editoru obsahu (dočasné omezení)
b) nemá instalátor modulů, takže se musí instalovat rozbalením a spuštěním update skriptu, což by tolik nevadilo, nicméně tím pádem chybí kotrola závislostí a verzí, což vadí už trochu více
c) administrátorské rozhraní není příliš rychlé a občas málo signalizuje, že něco dělá; typicky třeba vytvoření stránky: kliknu na Proveď a několik sekund nic, teprve pak se začne něco dít, pokud v mezitím kliknu na tlačítko proveď několikrát, tak vytvořím omylem několik stránek. Kdyby to tlačítko aspoň zůstalo zmáčklé. Bylo by potřeba, aby když SilverStripe pracuje na pozadí to dával víc najevo a rozhraní bylo neaktivní.
d) Sice podporuje vícejazyčné stránky, ale rozchodit to, aby to zobrazovalo např. korektně $LastEdited.Ago česky na české stránce a anglicky na anglické není zrovna sranda. Stejně tak třeba přepínání jazyků. i18nTextCollector neumí zpracovat šablony.
e) Vůbec jsou tam takový nedotaženosti. Např. widgety jsou fajn věc, ale ve výchozí instalaci jsou zapnuty jenom pro blog, aby se daly používat na normálních stránkách je potřeba napsat (=zkopírovat z wiki) kus PHP. Většina věcí se do šablon vkládá explicitně, pomocí $něco, ale odkazy na css a javascript to vkládá samo a pokud to nepozná místo, kam je vložit, tak je tam bez jakéhokoli varování nevloží. Když se mu něco nelíbí v šabloně, tak to místo chybové hlášky vygeneruje prázdnou stránku.

Tož tak :-)
puschpull puschpull být nad věcí, pohoda a klid ... - AV-Com (Homepage) 24.8.2009 17:10 - Oblíbené kluby (17:49) 6809
huha co jsi zjistil ?
já zatím stihnul jen instalaci na localhostu a nastavení českého rozhranní
:-)
huh huh 24.8.2009 15:00  6808
puschpull [6807]: Za tu dobu jsem ovšem zjistil i věci, které se mi na Silverstripu nelíbí :-) Celkově se mi pořád líbí, ale nedostatky tu jsou :-)

[ 4075 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  

(c) 2001-2011 Lopuch.cz   
Kontakt