Starší komentáře ke článku: lanskrounsko.cz
Zpět na článek | Úvodní stránka Interval.cz
Datum vložení: 28.5.2003 1:16:45
Si snad delate prdel? :-))))))
ConnectDBParams = "Provider=SQLOLEDB;
Persist Security Info=True;
User ID=lanskrounsko.cz;
Initial Catalog=lanskrounsko.cz;
Data Source=(local);
Use Procedure for Prepare=1;
Auto Translate=True;
Packet Size=4096;
Workstation ID=webserv;
Password=lc"
Datum vložení: 28.5.2003 9:20:49
To je dobry - a jednoduchy se k tomu dostat - nemit tam locale ......
Datum vložení: 28.5.2003 4:45:38
stranky jsem prohlizel jen letmo, subjektivne zapadaji do rady projektu, ktere me osobne nic nerika - je to muj osobni nazor, a uznavam, ze asi nebudu cilova skupina.
nejsem sice programator v asp, ale tohle mi prijde jakoze by to tak asi byt nemelo:
<a href='http://www.lanskrounsko.cz/czech/index.asp?id=index.asp' target='_blank'>http://www.lanskrounsko.cz/czech/index.asp?id=index.asp</a>, server se zastavil, az kdyz mi ochotne naserviroval asi 1,7 MB dat
na to, ze je to vytvoreno profesionalem, tak nasledujici udaje mi prijdou ponekud obstarozni:
1) <body leftmargin="0" topmargin="0" marginwidth="0" marginheight="0" bgcolor="#E1F1FF" onload="color()">
2) <center>
3) <td bgcolor="#000000" width="1"></td>
4) </tr> </table> </div> </td> </tr> </table> </div> </td> </center>
Cili, mam-li to shrnout, kodem je to jeden z dalsi podprumeru, grafikou standardni portal, osobne bych rekl prumer. Jedina pozitivni vec je snad moznost zmenit velikost kodu (sice to pak mirne rozhodi layout, ale to bych rekl, ze se da zkousnout).
Zaverem by mozna chtelo lepe vyresit includovani obsahu, upravit hlavicku o kodovani, aby mi to precetla i Opera (jedna se o drobnost a stranky jsou pak plne kompatibilni i s ni), do budoucna se zamyslet nad css a ja myslim, ze to bude dobry ...
Datum vložení: 28.5.2003 4:51:16
uprimne, ted kdyz na to koukam znova, tak autor asi moc neosetruje vstupy
<a href='http://www.lanskrounsko.cz/czech/index.asp?id=zpravodaj/clanek.inc&intID=dve' target='_blank'>http://www.lanskrounsko.cz/czech/index.asp?id=zpravodaj/clanek.inc&intID=dve</a>
pri kliknuti na 'svazek obci' mi popup menu vyjede pod reklamu
pri pouzivani 'pridej akci' mi pri odeslani prazdneho sice spravne upozorni na nevyplneni poli, ale nejdriv vyskoci javascripti (ci co) chyba
co na to tak koukam, tak vstupy zrejme nejsou osetrene nikde, jakmile nedorazi cislo - chybova hlaska primo od serveru, jakmile je neco jineho nez index.inc, opet atd. atp.
Datum vložení: 28.5.2003 7:27:02
Nějak se mi tam nepodařilo najít vyhledávání. Což by se u takovejchle stránek moc hodilo. Toť můj názor.
lasak.wz.cz
Datum vložení: 28.5.2003 9:44:11
- proc mate skript mezi head a body?
- tabulek jak nasnezenych. Chapu tabulkovy design ale vseho s mirou... delat spesl tabulku na neco co se da udelat stokrat snaz borderem....
- v mozille to vypada skutecne uchvatne
- u obrazku chybi alty
- wow. Chci rict WOW...
<td width="100%"> Dobré dopoledne. <font size="1">Dnes je <b>28.5.2003 9:26:15</b>. Svátek má <b>Vilém</b>, zítra <b>Maxmilián</b>.</font></td>
-----------------------
[table][tr][td width="2px"][/td][/tr][/table]
------------------------
[tr][td width="100%" bgcolor="#000000" height="1"][/td][/tr]
------------------------
[table border="0" cellpadding="2" cellspacing="0" width="140" style="border: 1 solid #000000" bgcolor="#FFFFFF"][tr][td width="100%" bgcolor="#000000" height="1"][/td][/tr][tr][td width="100%" bgcolor="#FF7D27" height="11px"][p align="center"][b]EVROPSKÁ UNIE[/b][/p][/td][/tr][tr][td width="100%" bgcolor="#000000" height="2"][/td][/tr]
------------------------
- co je entita &intID?
- v mozille to vypada uchvatne
- nechapu co sem davate tak brutalne neosetrenej bastl, to vam SKUTECNE neni hanba?
<a href='http://www.lanskrounsko.cz/czech/zpravodaj/clanek.inc' target='_blank'>http://www.lanskrounsko.cz/czech/zpravodaj/clanek.inc</a>
<a href='http://www.lanskrounsko.cz/czech/aktualne/index.inc' target='_blank'>http://www.lanskrounsko.cz/czech/aktualne/index.inc</a>
<a href='http://www.lanskrounsko.cz/czech/diskuse/index.inc' target='_blank'>http://www.lanskrounsko.cz/czech/diskuse/index.inc</a>
<a href='http://www.lanskrounsko.cz/czech/home/connectdb.inc' target='_blank'>http://www.lanskrounsko.cz/czech/home/connectdb.inc</a>
<a href='http://www.lanskrounsko.cz/czech/index.asp?id=diskuse/prispevek.inc&idprisp=19' target='_blank'>http://www.lanskrounsko.cz/czech/index.asp?id=diskuse/prispevek.inc&idprisp=19</a>
Vsechna cest, mate tam vubec NECO co neni bezpecnostni dira?
Datum vložení: 28.5.2003 13:31:05
:o))) A což takhle přidat akci, která ve skutečnosti neproběhne??? Ono jim to tam opavdu jde. Prostě server je nedůvěryhodnej...
Zrovna řešíme pro jedno město internetový systém. Již měsíc rozebíráme "teoreticky" možné bezpečnostní záludnosti a důvěryhodnost údajů.
Tvůrci "lanškrounska": Asi se nemýlím, že projekt vnikal "za pochodu". Čili nápad a jde se na to bez analýzy... Co?? :o)))
Datum vložení: 28.5.2003 14:02:05
zasada cislo jedna - udaje nikdy nejsou duveryhodne pokud pochazeji primo z url, cili postup je dle meho nasledujici
1) prijde mi udaje
2) kontrola typove spravnosti, resp. konverze
3) kontrola zda udaj s timto identifikatorem (at jiz stranka nebo polozka v databazi) existuje a/nebo zaroven, zda ma uzivatel k tomuto udaji pristup
4) pokud bod tri=true - vsechno v poradku (pokracuji dal standardni cestou), pokud vyjde false=>require/redirect na default nebo mnou vytvorena hlaska - dle pripadu a potreby
todle si myslim, ze je univerzalni a pokud dodrzite toto, tak neni problem
Mozna by nebyla na skodu jeste kontrola moznosti vzajemne koexistence prijatych udaju.
Datum vložení: 28.5.2003 14:39:21
Kecy. Udaje:
a) nejsou nikdy duveryhodne
b) system ma byt navrzen tak aby podobne sr***y nesly. Tohle je spatny navrh - includovat soubory touhle metodou muze jen sebevrah
c) urcite to umi kazdy vyhledavac ocenit, napriklad google, ze...
Tohle snad neni ani amaterismus v oblasti zabezpeceni, to uz je proste ignorance a bastlismus.
Datum vložení: 28.5.2003 14:50:57
Ja reaguji na pana Kourila. Podobne sragory, jak Vy pisete, pujdou vzdycky pokud neudelate to, co jsem napsal, resp. vlastni obdobu teto kontroly. Ostatne VY v podstate v bode b) popisujete to same, co jsem napsal ja - pravda Vase verze je svebytnejsi ;)
Na tema includovani timto zpusobem - osobne jsem absolutnim odpurcem toho sestavovat parametr pro include primo z udaju, ktere prijdou z url, notabene tam napsat primo cestu. Ostatne na toto tema jsem rekl sve uz u clanku <a href='http://www.interval.cz/discussion-read.asp?id=1304' target='_blank'>http://www.interval.cz/discussion-read.asp?id=1304</a>, takze pokud je toto reakce na muj prispevek tak placete na spatnem hrobe.
Datum vložení: 28.5.2003 17:51:27
On ten problém není jen o programování, ale o systému aktualizace informací, přidělování práv pro zápis do systému atd. Tomuto předchází vcelku složitá jednání s možnými zadavateli akcí (většinou osvětová) na téma proč, kdy, jak.
Zadat nějakou akci je jedna věc. Mnohem složitější je udržet tyto informace komplexní a pravdivé. Smůla je, že jsem se setkal s mořem projektů na dané téma, kde nějaká analýza byla pro tvůrce spíš sci-fi než realita.
Osobně mne u webu nezajímá jen, je-li layout TABLE nebo DIV, nebo jestli má obrázek ALT (pozor! toto nepodceňuju), ale i to jaká je struktura, komplexnost a pravdivost informací... Ale to by bylo na dlouho. Lanškrounsko to prostě postrádá!!!
Datum vložení: 28.5.2003 14:53:02
na te posledni vete se s Vami v zasade shodnu ;)
Datum vložení: 28.5.2003 18:47:56
ted znova prochazim thread, tohle mela byt reakce na vitu, ...
Datum vložení: 28.5.2003 13:56:25
ok, tak to seradime do top ten:
1) <a href='http://www.lanskrounsko.cz/czech/home/connectdb.inc' target='_blank'>http://www.lanskrounsko.cz/czech/home/connectdb.inc</a>
2) <a href='http://www.lanskrounsko.cz/czech/index.asp?id=index.asp' target='_blank'>http://www.lanskrounsko.cz/czech/index.asp?id=index.asp</a>
ten druhej doporucuju pro masochisty - IE jen ceka a ceka, ale opera zobrazuje prichozi data prubezne ;)
Datum vložení: 28.5.2003 16:15:32
Jak si zkonroluju na mojich stránkách jestli tam nemám podobnou chybu? Jak to zabezpečit aby to nešlo přečíst? Popřípadě jak jinak vyřešit připojování do databáze?....
Datum vložení: 28.5.2003 16:19:44
Dej si hledat na intervalu bezpecnost.
- bezpecnost predevsim (prikaz include) byl jeden z nich kde se mimojine PRESNE TOTO rozebiralo
- muj priklad s forem je neosetreni entit - bylo to neco jako 'zabraneni interpretace HTML kodu'
- dalsi moznost je prace s databazi, sql script injection...
Datum vložení: 28.5.2003 17:39:07
Dival jsem se na to uz ve dve rano, ale nemel jsem sil reagovat.
Vzhledem i ovladanim je to slaby prumer, ale ty bezpecnostni diry to opravdu dost srazi...
At je web jakejkoliv, data by mela byt zabezpecena. Zakaznik asi nebude potesen, kdyz bude pul roky sypat do databaze a pak mu to nejakej hracicka jedinym sql prikazem rozhazi (ne-li rovnou cele vymaze).
Autor scriptu je zjevne zacatecnik nebo poradny flakac a mel by si nejprve nastudovat zaklady nez zacne fusovat do remesla profikum :D
Na druhou stranu je to v porovnani s <a href='http://www.exler.cz' target='_blank'>http://www.exler.cz</a> nadherne a propracovane :)
Datum vložení: 28.5.2003 17:45:24
to je vpohodě kdysi měl <a href='http://www.ochrance.cz' target='_blank'>http://www.ochrance.cz</a> přístupové jméno a heslu uvedené v zdrojáku stránky...
Datum vložení: 29.5.2003 18:43:49
Co se Ti nezdá