Aukcje.org

• # Wilk — 9/7/2007 @ 22:23:

  Spójrz na to z innej storny: Internet Explorer największą popularnością cieszył się wtedy, gdy odkrywano w nim najwięcej dziur :P

• # Jacek Z. Strzembkowski — 9/7/2007 @ 22:57:

  Miałem masę czasu od marca 2006 na przemyślenie konsekwencji tych luk.

  W pewnym momencie, razem z Łukaszem Pilorzem doszliśmy do wniosku, że możliwe jest stworzenie czegoś w rodzaju „wirusa”. Preparujemy jedną aukcję, w której skrypt wysysa dane ofiar (oglądających aukcję) i z ich kont wystawia kolejne aukcje-pułapki. To działa jak wirus… lawinowo.

  Z tego co widzę, Krejd pisze o kluczu sesji. Przejmowanie klucza sesji nie daje pełnego dostępu do funkcji konta. Pełny dostęp daje sekwencja login-hasło. CSS i Java Script wystarczą by je wyciągnąć - o czym Krejd jeszcze nie wie, choć zapewne wkrótce wpadnie na to.

  Zastanawiam się, dlaczego o sprawie jest tak cicho.

• # Jacek Z. Strzembkowski — 9/7/2007 @ 23:12:

  BTW:

  http://www.allegro.pl/phorum/read.php?f=301&i=64071&t=64071

  Fajne filtry… :)

• # maRKer — 9/7/2007 @ 23:23:

  Czy autorzy tego serwisu oraz serwisu DI maja jakies kompleksy ? Po raz „setny” odgrzewacie „staaaare kotlety”, bo te WIELKIE DZIURY to smieszne i znane od wielu lat niedorobki Allegro. Kodeks Drogowy stanowi, ze nie wolno jezdzic po chodniku - jednak czasem sie to komus zdarza, i jesli kogos sie tam rozjedzie, to dalej ma sie do czynienia z prokuratorem. Kogo chcecie wiec w ten sposob promowac ? Siebie ? Domoroslych „hakierow” ? Nie pojmuje tej zajadlosci w nierownej walce z niedobrym Allegro …
  p.s.
  A moze ktos poda jakis wiarygodny przyklad wlamania na konto w Allegro ? Tylko nie takie bzdety jak to, ze kolega koledze przeslal swoj aktualny klucz sesji -:))

• # Jacek Z. Strzembkowski — 9/7/2007 @ 23:40:

  http://www.aukcje.org/archives/2007/01/22/gazetapl-rce-mi-opady.htm

• # Jacek Z. Strzembkowski — 9/7/2007 @ 23:49:

  @maRKer:
  Sprawa Java Scriptu zaczęła się od włamania na konto administratora allegro (Macieja Pajęckiego) w 2004 roku. Jeżeli uważasz że przejęcie konta administratora allegro to „staaaare kotlety”, „Domoroslych hakierow” to życzę powodzenia.
  Allegro dawno temu zaczęło „prunować” forum - jedynym śladem tego, co się kiedyś stało są doniesienia w różnych serwisach. Masz zatem powód, dla którego ktoś poświęca swój czas, żeby Ci coś opisać.\

  A jaka jest Twoja motywacja do postów takich jak wyżej?

• # Wilk — 9/7/2007 @ 23:51:

  @maRKer - czy to, ze sa znane od lat oznacza, ze przestaja byc dziurami? Dziure te stanowia furtke dla dosc powaznych naduzyc, a Allegor jest najwiekszym polskim serwisem aukcyjnym, z ktorego korzysta lwia czesc polskich internautow. Pelni dosc istotna role w polskim handlu internetowym. Uwazasz, ze naglasnianie problemu jest nie na miejscu i najlepiej, zeby zaprawe zamilczano? Bo po co przecietny uzytkownik mialby byc swiadomy, ze powinien uwazac?

  I nie bardzo rozumiem ani gdzie doszukujesz sie potrzeby promocji czy kompleksów (?) ani dlaczego uwazasz, ze domaganie sie zalatania dziur w serwisie, z ktorego korzysta masa ludzi to walka z tym serwisem. Trudno polemizowac z kims, kogo argumentacja opiera sie na imputowaniu intencji z sufitu.

• # do — 10/7/2007 @ 0:28:

  Heh … zrobiło się prawie ciekawie (a jak wiadomo „prawie” robi wielką różnicę) -;)
  -
  Pozwolę sobie na własne zdanie w sprawie, bo jedyną ciekawostką w tym całym zamieszaniu było zamieszczenie w jednej z aukcji Allegro niedozwolonych znaczników (reszta to faktycznie niegroźne starocie). Sądzę bowiem, że taka sytuacja mogła być wynikiem czasowej dysfunkcjonalności parsera opisów, co mogło być skutkiem popełnienia błedu w programowaniu tegoż parsera przy wprowadzaniu zmian. Jeśli ktoś się bliżej interesuje tematem to powinien wiedzieć, że po ostatnich awariach w Allegro maszyny serwujące (a jest ich trochę) ‘content’ pracują na róznych wersjach PHP. Stąd też moja teza, że koder napisał coś pod „piątkę” co nie chodziło pod „czwórką”. Ale to tylko takie przypuszczenie, bo równie dobrze błąd parsera mógł być stary jak jego cała historia - wtedy odkrywca błędu powinien dostać od Allegro darmową wycieczkę gdzie tam sobie zażyczy …
  –
  Pozdrawiam,
  D.O.

• # Jacek Z. Strzembkowski — 10/7/2007 @ 0:38:

  @do
  Hej - dawno Cię nie widziałem u siebie. :)
  To jest stara historia. Obaj wiemy, kiedy allegro zaczęło ciąć JavaScript. Zrobili to na szybko i bez głębszego zastanowienia. Przy sporym dymie ze strony użytkowników.

  Ciekaw jestem czy przez API da radę wsypać coś z pominięciem filtrowania. Allegro zwykle nie potrafi ekstrapolować problemów. Jak zajmą się filtrowaniem opisów aukcji - to o kafejce już nie pamiętają…

• # do — 10/7/2007 @ 14:15:

  Jacek, WebAPI (teoretycznie) powinno przyjmować treści opisów z xml’i z użyciem identycznych reguł parsera - po prostu ta sama klasa parsera inkludowana jest zapewne w każdym miejscu gdzie przyjmowane są treści opisów aukcji. Ale tak sobie tylko „gdybam”, bo w ogóle to parser opisów wcale nie musi być napisany w PHP (np. z powodów wydajnościowych) i wtedy moja teza o „błędzie niezgodności wersji PHP” też nie ma racji bytu …
  –
  D.O.

• # Joe — 10/7/2007 @ 21:18:

  Najśmieszniejsze jest to ze wy tu sobie robicie wywody co jak dlaczego itd a allegro ma to w d…
  A co się bedą stresować, oni bezpieczeństwo użytkowników mają praktycznie w tych samych 4 literach :) kasa płynie, płynie system od ściagania prowizji działa, nawet gdzy nic innego nie działa działa, wiec o co wam chodzi :)

• # Jacek Z. Strzembkowski — 10/7/2007 @ 23:10:

  … dokładnie. Dokładnie.

Napisz komentarz:

Opcja komentowania dla tego artykułu została wyłączona.

• Uczelnie.org - wyszukiwarka uczelni
• Ceneo.pl - serwis porównujący ceny tego samego produktu w wielu sklepach internetowych
• Euro Tax przeprowadza zwroty podatku.
• Sprzęt foto-video i TV: e-cyfrowe
• Skype PL - Codziennie 150 000 nowych użytkowników

Partnerzy: