kochetkov.vladimir wrote:
> .>Скажем, в сервлетах сделано всё правильно
> И где сейчас сервлеты?
Живут и здравствуют. Немного фичи добавляют и только.
Просто их напрямую уже редко используют, а фреймворки всё равно основываются
старых добрых сервлетах.
> .>А уж если вспомнить весь этот ужас с установкой/настройкой, скажем
> того же IIS и
> .>если сравнить с jetty...
> Чего там ужасного-то?
да хотя бы в случае embedded...
Posted via RSDN NNTP Server 2.1 beta
Здравствуйте, VladD2, Вы писали:
VD>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>В ноябрьском выпуске журнала MSDN опубликована статья Говарда и Салливана в которой представлены 10 фрагментов уязвимого кода.
VD>За такой перевод нужно увольнять без выходного пособия .
Оригинал
здесь
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>В ноябрьском выпуске журнала MSDN опубликована статья Говарда и Салливана в которой представлены 10 фрагментов уязвимого кода. Читателям предлагается найти все допущенные в них уязвимости, посчитать свои баллы и, тем самым, осуществить сабж. После каждого из фрагментов идет весьма познавательный "разбор полетов" на тему "почему так нельзя делать".
KV>Набрал 12 баллов , зато есть куда развиваться
KV>P.S: На радость "Нео и Морфеусов", 6 фрагментов написаны на C#
смешно, что советуют ГУИДы в качестве идентификаторов сессий хотя
здесьАвтор: Crackozabl
Дата: 06.12.08
приведена ссылка на статью, где описывается уязвимость такого подхода
Здравствуйте, avpavlov, Вы писали:
A>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>В ноябрьском выпуске журнала MSDN опубликована статья Говарда и Салливана в которой представлены 10 фрагментов уязвимого кода. Читателям предлагается найти все допущенные в них уязвимости, посчитать свои баллы и, тем самым, осуществить сабж. После каждого из фрагментов идет весьма познавательный "разбор полетов" на тему "почему так нельзя делать".
KV>>Набрал 12 баллов , зато есть куда развиваться
KV>>P.S: На радость "Нео и Морфеусов", 6 фрагментов написаны на C#
A>смешно, что советуют ГУИДы в качестве идентификаторов сессий хотя здесьАвтор: Crackozabl
Дата: 06.12.08
приведена ссылка на статью, где описывается уязвимость такого подхода
Мог бы поспорить, что атаки на перехват пользовательской сессии редко обуславливаются только лишь нестойкостью sessionID (зависит от используемой платформы, реализации аутентификации и т.п.), но не буду. Т.к. GUID'ы действительно лучше вообще не применять в таких задачах от греха подальше. По-моему, и в стандарте на них так и сказано
Хотя в статье авторы нисколько не слукавили. GUID в том конкретном случае действительно был бы "гораздо лучшим вариантом" по сравнению с инкрементом целых чисел
KV>Хотя в статье авторы нисколько не слукавили.
Они вообще слишком много лукавили на мой взгляд — например задним числом упоминают кластер, или что код выполняется на клиенте — этот последний пример меня особенно разозлил
Совершенно не очевидно что это исполняется на клиенте