Mailinglisten-Archive |
Stefan Brueckmann wrote: > Hallo Sebastian Mendel, > > am Mittwoch, 12. Oktober 2005 16:08 schriebst du: > >>> Kannst du uns auch verraten wie der Böse Bube mitbekommt das >>> sein Empfänger irgendwo eingeloggt ist? >>> Oder warum die Leute, währen sie in meinem genialen Webfrontend >>> eingeloggt, sind noch Zeit haben E-mail zu beantworten? >>> ;-) >> >> ... ich find es etwas peinlich das man Programmierern erst erklären >> muss wie schwerwiegend eine Sicherheitslücke ist nachdem sie ihm >> erklärt wurde ... > > Nun mach mal halblang. > Ersten steht hinter meiner Bemerkung ein ;-) halblang: das Grinsen bezog sich nicht nur auf den zweiten Satz? > und zweitens sehe ich nicht, wie das Ganze funktionieren soll, wenn in > der Session auch die IP steht. Oder klaut die der Böse Bube gleich > mit? wieder etwas länger: ... die fehlt etwas die Fantasie, oder? mittels JavaScript kann er auch noch andere Sachen anstellen außer nur die SID irgendwohin zu schicken ... und ganz lang: http://de.wikipedia.org/wiki/Cross-Site_Scripting http://www.heise.de/security/artikel/print/38658 und 6,3 Millionen weitere Seiten bei Google ... scheint mir wirklich eine total unwichtige Sicherheitslücke zu sein ... -- Sebastian Mendel www.sebastianmendel.de www.sf.net/projects/phpdatetime | www.sf.net/projects/phptimesheet
php::bar PHP Wiki - Listenarchive