Luka we Flashu zagraża większości użytkowników Sieci. Adobe rozkłada ręce
Czy można wzruszyć ramionami na wieść o luce, która zagraża praktycznie każdej witrynie w Internecie? Jeśli pracuje się w Adobe, to można. Odkryta przez specjalistów luka we Flashu...
matips z- #
- #
- #
- #
- #
- #
- #
- #
- #
- #
- 47
Komentarze (47)
najlepsze
Choćby webhosting opisywał to już spory czas temu:
http://www.wykop.pl/link/38047/aplikacje-flash-podatne-na-ataki-xss-i-znikad-ratunku
Ciężko to nawet nazwać luką. It's not a bug, it's a feature!
A ten bug to takie cholerne odkrycie, że szok. Równie dobrze możnaby mieć pretensję do twórców PHP, że zrobiliśmy hosting a użytkownicy mogą wykonywać pliki .php które tam umieszczą.
Podsumowując - ktoś szuka taniej sensacji.
Ale dlaczego mam płacić za to, że Adobe zrobiło jakiś plugin niezgodny ze specyfikacją HTTP?
Pliki użytkowników pozostawię w nazwastrony.com/files, nie zamierzam kupować niczego w stylu nazwastrony-files.com tylko po to, żeby Flash nie wykonał żadnego skryptu z uprawnieniami domeny.
No bo trzeba przecież obsmarować Adobe
Bo to jest wina Adobe.
Gdy ktoś wrzuci SWF z rozszerzeniem zmienionym na .gif, plik taki zostanie oczywiście zapisany na serwerze. Wyświetlenie tego pliku spowoduje wykonanie kodu ActionScript, pomimo tego że plik ma
Jak zabezpieczałem u siebie? Plik uploadowany był analizowany pod kątem treści (czy
http://dailytech.pl/5049/jak-to-jest-z-webhosting-pl/
Zapłacili z półrocznym opóźnieniem. Jak się już smród rozszedł.
No tak, a jeśli atakujący przyjdzie do serwerowni, która pozwala wchodzić do niej każdemu i zabierze jakiś komputer, to też będzie klapa.
Ta "większość" to webmaile i serwisy społecznościowe, które pozwalają umieszczać swoją albo cudzą twórczość we Flashu.
Jeśli chodzi o YouTube, to nie jestem pewien,
Właśnie odkryłeś poważną lukę w budowie serwerów. Powinieneś napisać do intela a zaraz potem artykuł "jaki to intel zły - nie reaguje".
Z flashem jak widać przeszło, może i z serwerami się uda :)
Ten tekst mnie rozłożył. Ciekawe jakie to mogą być te inne serwisy :)
FUD