Flash-hiba fenyegeti weboldalak tízezreit
A Google és az iSEC Partners biztonsági cég szakemberei bukkantak rá a flash-tartalmak sebezhetőségére, amire egyelőre nincs orvosság.
■ 
Friss blogmarkok
- Web Akadálymentesítési Útmutató (WCAG) 2.1 – nyilvános munkaterv – Megjelent a WCAG (Web Akadálymentesítési Útmutató) 2.1 nyilvános munkaterv (0)
- MongoDB Apocalypse Is Here as Ransom Attacks Hit 10,000 Servers – Több tízezer védtelen MongoDB szerverre csaptak le hackerek (2)
- 12 Signs You’re Working in a Feature Factory – A cél nélküli funkciógyártás néhány tünete (0)
- Translatable, custom dates in Twig templates of Drupal 8 – Saját dátumok megjelenítése, fordíthatóan a Drupal 8 smink rétegével dolgozva (0)
- NativeScript – Cross-Platform Native Development with Javascript – Fejlesszünk natív mobilalkalmazást JavaScripttel (0)
- GitHub Security Update: Reused password attack – Érdemes bekapcsolni a kétfaktoros azonosítást, ha a GitHub jelszavunkat más oldalakon is újra felhasználtuk (17)
- UX Design könyv – Hogyan tervezz felhasználóbarát és szerethető alkalmazásokat? (0)
- Introducing unlimited private repositories – Megváltozik a GitHub díjszabása: minden előfizetéshez korlátlan számú privát repository jár (0)
- Drupal 8 Twig: add custom CSS classes to menus (based on menu name) – Saját elképzeléseink szerinti CSS osztályok (automatizált) hozzáadása a Drupal 8 menüihez (0)
Cikkajánló
gerzson:
A regexről – másképp
janoszen:
Sessionmentes weboldalak
chikk:
XAML bemutatása
Friss csiripek
Csiripek betöltése…
Aktív fórum témák
Új fórum témák
Archívum
| H | K | Sze | Cs | P | Szo | V |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 1 | 2 | 3 | 4 | 5 |
Hoax
A prezi azonban elgondolkodtató. Persze, kisarkítja a problémákat (mintha átutalni úgy lehetne, hogy küldesz egy GET requestet a banknak, feltételezvén hogy nem léptél ki, meg ugye a JSON adatokat sem eval()-lal olvassuk be). A legtöbb "remek" analízis arról szól, hogy hogy lehet meghackelni a keretrendszert miután betörtél mondjuk XSS-el. Mond azonban néhány jótanácsot, amit én fel is vennék a "best practices" listámba:
- használj titkosított session tokent a fontos kérésekbe
- ne engedd a programnak, hogy állapotot módosítson GET request-re
- quote-olj mindent
- ne bízz mások által írt kódban (ellenőrzés, ellenőrzés, ellenőrzés)
Mondjuk én ezt a titkosított session tokent kiegészíteném azzal, hogy jó ötlet a CAPTCHA-szerű védelem rejtett formában is, azaz a form-ba kerüljön bele egy véletlenszám, és csak akkor fogadja el a submit-ot a szerver, ha a session-ben tárolt szám megegyezik a visszakapott értékkel. Persze ez elég gyengécske megoldás, és csak ideig-óráig jó (amíg rá nem jönnek a POST spam-elők, hogy előtte egy GET-tel kérjenek tokent).