Posted By: pivson (Pijte pivo, je zdrave !!!) on 'CZwww' Title: Re: fajly ke stahnuti nepristupne pres URL Date: Thu Apr 11 09:49:33 2002 > > > Hlavne nevyzaduj cookies :) Pak si to hodne lidi nestahne :) > > > > ??? > > tipuju ze "'guruove' co se vyznaji v bezpecnosti zakazuji cookies"... > "ono vubec guruove zakazuji vsechno" Dela ti rejpani dobre :) ? Neni to zas tak moc neni moc pravda, ale proste cookies maji spoustu zaporu. Este snesu 'per session cookies', ale aby si nekdo trakoval co jak kde u nich na webu delam, to opravdu nemusim :o) [to je std praxe... i u nas] Co se tyce vypinani vseho, pokud chces bejt trochu secure, tak veci jako ActiveX a podobny povypinany mit musis, resp. minimalne na zeptani. Staci se podivat napr. na oznaceni 'bezpecne pro skriptovani' (pak se IE kdyz je mas zaply) vubec nepta a smahne je tam (na to uz byla zaplata, je to dyl). A takovejch veci je vic : Preteceni buferu - a IE se pak nepta - pokud mas treab activex povoleny na zeptani (pokud jsou zakazany je vse OK). Jen podotykam, ze ActiveX je spusteni ciziho kodu na svym pocitaci a to slozi jakejkoliv OS. Unixy, Linux, Windoze. Kdyz pustis tvuj kod, system je 'tvuj' - je to jen otazka 'casu'. Kazdej OS ma lokalni "root" exploity. Porad se jich dost opravuje, ale porad jich dost pribejva :o) Staci si nechat posilat tejdeni sumary bugtraqu... Obecne (z hlediska uzivatelu) je cookies pro logovani dira jak krava, protoze cookies se daji velice jednoduse krast. Hodne webu se autorizuje, priradi cookies (je jedno jesli http nebbo https) a podle cookies se pak identifikujou. Pokud danej clovek neni up-to-date s security packama, nebo proste MS jeste (related pro IE samozrejmne) jeste nezaplacnul, tak se cookies da strasne jednoduse ukrast. Pokud v kombinaci mas to, ze se uzivatelovy ukazuje 'html' (a neosetris tagy) tak je to krasa. Moc produktu uz takhle melo diru - administratorivy se ukradlo cookies a hotovo. A jako tvurce webu musis predpokladat, ze ty lidi budou mit 'release bez zadnyho packu' - standardni vec... A podivej se na svuj adresar cookies, kolik webu te identifikuje jen podle cookies... Neni to vlastne 'vina' webu/servru, ale na nej to dopadne.... S nejakou session ID je to obdobny, nicmene, ta je skutecne a vzdy jen na 'session'. A v obou pripadech se to stejne musi zprahnout s IP adresou - dost se snizuje pravdepodobnost, ze nekdo ukradne cookies. Kdyz jo, je to k nicemu. Coz samozrejmne neresi problem proxy. Ale je to lepsi nez nic. Teda pokud pomoci cookies delas vic ze nes napises 'dobry den frantisku'... A prave cookies, co nejsou 'per session' tohle "neumoznujou" (nejde to) -> daj se orpavdu hodne jednoduse ukrast. A kdyz uz ne dirou v IE, tak majlovacim klientu (tech je taky dost), ..... Proto treba ja nemam cookies povoleny a ani hafo lidi co znam. Proto jsem podotkl, ze .... Nic vic nic min. A vsechno povipinany nemam, na dost veci se mne pta :o) Tesim se az se nam rozjede web, udelali sme si tam statistiky kolik lidi ma zaply skripty/cookies/etc. tak sem zvedavej jak to bude vypadat po mesici provozu... Nema nekdo neco takovyho uz rozjety ? Ja jsem hlavne zvedavej, jak se to bude lisit podle 'casti' webu (dev/busines/...) no flame... Pivson I a posledni, z bozi vule pivar A co budou delat cesi ??? Deme na pivo !