Obsah fóra TMOU! Archiv


Máš IQ > 150??? Tak to ti stačit nebude...
   Obsah fóra TMOU! -> Technické problémy a různé -> Údaje o týmu a HTML
Autor Zpráva
kafe



Příspěvky: 27

Zaslal: čt. říjen 25, 2012 01:23    Předmět: Údaje o týmu a HTML

Jedna věc je ponechat týmům volnost, jak se nazvou a co si uvedou jako jména členů, ale jiná věc je povolit v tom libovolné HTML včetně JavaScriptu.

Někteří upravují seznam týmů pouze decentně, ale to není nic pro mne, chci-li, aby tato fíčura zmizela, bylo třeba to vzít kladivem...

Yeti
Návrat nahoru
Martina
Organizátor


Příspěvky: 38

Zaslal: út. říjen 30, 2012 13:41    Předmět:

No vidíš to, a mně se to líbilo právě dokud se týmy přebarvovaly, blikaly, odřádkovaly, zkrátka bavily se tím a neškodily... Řekla bych, že najít v prostředí důvěry něco zneužitelného není takový problém, ne? Mě by to asi nelákalo a bližší je mi třeba přístup Aleše, který nám to o pár týdnů dřív prostě napsal... a následně přebarvil tým na oranžovo Wink
Návrat nahoru
kafe



Příspěvky: 17

Zaslal: pá. listopad 02, 2012 13:04    Předmět:

Martina napsal:
Řekla bych, že najít v prostředí důvěry něco zneužitelného není takový problém, ne?


Někdo vidí prostředí důvěry, někdo vidí XSS. Já jsem paranoidní, takže vidím to druhé a JavaScript už pokud možno pro tento web nebudu povolovat nikdy, protože jsem ztratil důvěru v jeho bezpečnost.

Yeti
Návrat nahoru
Martina
Organizátor


Příspěvky: 38

Zaslal: pá. listopad 02, 2012 14:12    Předmět:

No přiznám se, že mi tvůj příspěvek stejně neozřejmil logiku, proč je lepší škodit než pomoci...
Návrat nahoru
kafe



Příspěvky: 17

Zaslal: pá. listopad 02, 2012 15:04    Předmět:

Martina napsal:
No přiznám se, že mi tvůj příspěvek stejně neozřejmil logiku, proč je lepší škodit než pomoci...


Jakmile jsem zjistitl, že web TMOU umožňuje permanentní XSS, napsal jsem o tom do fóra, které se jmenuje: Technické problémy a různé, podtitul Problémy s fórem, stránkami hry a ostatní věci. A přidal zřetelnou leč naprosto neškodnou demonstraci. Škodlivá demonstrace by měla -- pro začátek -- formu například hijackingu odkazu ,Autentizovaná sekce` na stránce. Považuješ-li primitivní přidání jakéhosi obrázku kamsi za škodlivé, tak nejspíš nemáš představu, co všechno by bylo možné.

*Nemají-li* se v tomo fóru hlásit problémy se stránkami hry, tak se omlouvám, že jsem bezpečnostní díru v nich hlásil na špatném místě. Pro budoucnost by možná stálo za zamyšlení upravit podtitul fóra, aby k tomu nenaváděl.

Nemá-li *smysl* řešit bezpečností problémy webu TMOU, protože XSS je zde považováno za užitečnou fíčurku namísto díry, tak to už dělat nebudu -- a webu TMOU se budu snažit vyhýbat.

Ještě k tomu prostředí důvěry. Registrovat tým mohl, pokud vím, naprosto kdokoli.

Yeti
Návrat nahoru
Martina
Organizátor


Příspěvky: 38

Zaslal: so. listopad 03, 2012 19:39    Předmět:

No stále mi není zřejmé, proč místo toho, abys nás upozornil na rizika (doporučila bych například napsat mail, použít telefon...), jsi raději způsobil nefunkčnost části systému a ex-post o tom psal na fórum. Wink
Ne že by se nám stala nějaká katastrofa, naštěstí na to měl Sven zrovna čas, takže jedinou újmou bylo o pár hodin pozdržené lastinfo, ale tak nějak pořád tu formu nechápu. No nic, hlavně že už je to změněné...
Návrat nahoru
Sven Dražan
Admin


Příspěvky: 29

Zaslal: ne. listopad 04, 2012 12:16    Předmět: Údaje o týmu a HTML

Zdravím,

reaguji coby webmaster až teď, protože před hrou jsem nenašel čas...

Předně děkujeme za upozornění na bezpečnostní díru. Ačkoliv zde byla již několik let, všiml si ji letos poprvé až Aleš z Chlýftýmu a napsal nám přímo mail. Bohužel bylo moc práce a tudíž jsem problém neřešil. Protože Chlýftým možnosti využil a zvýraznil si inzerát, zjistili to i jiné týmy a v více či méně kreativní formě toho využili. K zneužití pokud vím naštěstí nedošlo.

Teď už je díra zaplátována a snad nebezpečí nehrozí.

Pokud příště zjistíte něco závažného a akutního, prosím raději nám napište na emailový kontakt tmou@instruktori.cz, na který zareagujeme podstatně rychleji, než na příspěvek na tomto fóru, které si čteme méně často, obzvláště před hrou, kdy je spoustu jiné práce.
Návrat nahoru
Chlýftým



Příspěvky: 14

Zaslal: ne. listopad 04, 2012 13:03    Předmět:

Jen teda upresneni, nebyl jsem prvni, kdo si toho vsiml, ale byla to nejspis Bazinga Smile. Jen jsem to prvni nabonzoval.

Ales
Návrat nahoru
Přizdisráči



Příspěvky: 30

Zaslal: ne. listopad 04, 2012 18:17    Předmět:

Dost mě rozmrzelo, když jsem si jednoho rána všiml, že tato zajímavá fičura z webu TMOU zmizela. Upřímně řečeno mě XSS v tomto prostředí pocitem ohrožení nenaplňuje ani dost málo*, naopak mě bavil pohled na lidovou tvořivost. My jsme třeba binárkou blikali "PROJDEM TMOU" - a určitě jenom kvůli "opravě chyby" se nám to na samotné hře nepovedlo. Že ano.

To nejhorší, čeho může šikovný cracker na webu TMOU docílit, je získat hesla (a tím třeba maily a telefonní čísla) ostatních týmů, a to ještě za specifických okolností. Člověk musí být opravdu trochu paranoidní, aby se a) bál, že to opravdu někdo udělá, b) bál, že to někdo dokáže účinně zneužít. Proč taky?

Proč jsi vlastně považoval web TMOU za bezpečný (z technického hlediska)? Co tě k tomu, Yeti, vedlo? Při vší úctě ke všem webmasterům tohoto webu, já osobně bych jej za bezpečný (opět - z technického hlediska) rozhodně nepovažoval. Vůbec nechci, aby to vyznělo, že by snad správci byli neschopní, prostě jenom chápu, že nemají potřebu se tím zabývat a obětovat svůj čas. Nevěří, že bude někdo aktivně pátrat, jak to tady zneužít. Nevyplatí se věci "opravovat", když nemáš důvod je posuzovat jako pokažené. Aneb krása často tkví i v nedokonalostech.

Pokud se ukáže, že má někdo nutkavou potřebu škodit - i třeba jen kvůli tomu, aby demonstroval slabiny systému - tak si myslím, že větším problémem, než samotná chyba v aplikaci, bude to, že orgové budou muset udělat dost nepříjemný krok od "můžeme se na své hráče spolehnout, že nepřekročí určité hranice" k "musíme počítat s tím, že někdo něco provede, a připravit se na to". A ne, není to to samé, jako se třeba připravovat na ukradení šifry kolemjdoucím člověkem. Lidi jsou různí. Je hezké se přesvědčovat, že lidi kolem šifrovaček jsou různí přeci jen trochu jiným, zajímavějším způsobem.

-- Dero

* A to jsem povoláním vývojář internetových aplikací.
Návrat nahoru
Časy uváděny v GMT + 1 hodina