Ihmettelin juurikin samaa. Aioin tehdä tästä myöskin threadin, mutta ehdit ensin. Kerkesin jo luulla hakkeriksi. Haluaisin myöskin kuulla syyn tuon oudon ilmestyksen takana. Onko kyseessä html-koodi nickissä, kuten ehdotit?
Enpä järin hyödyttänyt keskustelua, mutta halusin silti tätä ihmetellä.
Vähän tuo profiilisivun otsikko viittaisi siihen, että html-koodia nickissä on.
Toisaalta sellaisia tunnuksia ei myöskään hyväksytä, joihin on yritetty kirjoittaa HTML-koodia.
Mutta jos on riittävän taitava, tunnuksen voi kenties muuttaa. Tästä ei ole kuitenkaan tarkoitus tulla mitään kansanhuvia.
Nyt kun oikein tarkistin niin lähdekoodissa kyllä näkyy tuo html-pätkä.
Profiilisivun lähdekoodin riviltä 75 löytyy:
<font color=red>1337</font>
Varmaan joku filtteri tällekin kannattaa thedä, rikkoo ikävästi dessun. Eipä sillä, että liiemmin häiritsisi, mutta onhan Putka aina ollut täydellisyyden perikuva.
Jos tuo on html koodia niin joka on syötetty nimimerkkinä, niin putkassa on TODELLA paha tietoturva aukko. Tämän aukon avulla voisi varastaa kaikki putkan käyttäjät tosta vaan. Tietääkseni Antti kuitenkin tarkastaa kaikki uudet käyttäjät ennen kuin ne aktivoituu, joten riski poistuu. Olen kerran hyödyntänyt tämän tapaista aukkoa ja kirjautunut eri käyttäjillä sisään, mutta loppujen lopuksi tunnustanut teon. Tämä olisi siis todellinen riski.
Antti! Tutki asia tarkoin ennen kuin tapahtuu ilkeitä.
Mobel kirjoitti:
Nyt kun oikein tarkistin niin lähdekoodissa kyllä näkyy tuo html-pätkä.
Profiilisivun lähdekoodin riviltä 75 löytyy:<font color=red>1337</font>
Tietenkin se on sivulla. Kysymys on, onko se nimimerkissä, jolloin nimimerkkiä tulostaessa se tulostuisi sivulle. Siitä taas seuraa kysymys, miten koodi on siihen päätynyt Antin ihmisaivoilla toimivasta nimimerkkiseulasta huolimatta.
Nyt vaan odottamaan, että joku pistää nimimerkkiinsä jotain jännää javascriptiä, joka saa elementit pyörimään ja heittää alertteja silmille :)
Noin, vaihdoin nimimerkkini nyt takaisin. Tämä on osa Antin kanssa yhteisymmärryksessä tehtyä tietoturvatestausta, joten ei hänen tarvitse mitään tutkimuksia käynnistää, sillä raportoin kaikki löytämäni tietoturva-aukot.
petrinm kirjoitti:
Jos tuo on html koodia niin joka on syötetty nimimerkkinä, niin putkassa on TODELLA paha tietoturva aukko. Tämän aukon avulla voisi varastaa kaikki putkan käyttäjät tosta vaan. Tietääkseni Antti kuitenkin tarkastaa kaikki uudet käyttäjät ennen kuin ne aktivoituu, joten riski poistuu. Olen kerran hyödyntänyt tämän tapaista aukkoa ja kirjautunut eri käyttäjillä sisään, mutta loppujen lopuksi tunnustanut teon. Tämä olisi siis todellinen riski.
Antti! Tutki asia tarkoin ennen kuin tapahtuu ilkeitä.
Tämän takia varmuuskopioita ei pidä vähätellä, varsinkaan isommilla sivustoilla.
Eikai ne varmuuskopiot poista tota aukkoa?
Mutta jos jotain tapahtuu niin tavaraa voidaan palauttaa!
Aihe on jo aika vanha, joten et voi enää vastata siihen.