7
-
Bagoly000 #7 "Az eredeti flash-tartalmakat módosítják, saját kódot fűzve hozzá az eredetihez (ez a cross-site scripting, vagy XSS technológia), így megszerezhetik a felhasználó böngészője által korábban felhasznált cookie fájlokat és egyéb fontos adatokat." -
arrakistor #6 a hír NEM igaz: a flash ÖSSZES verziójában a megcímezhető objektumok a
./ (értsd: a szülőkönyvtár gyermekobjektumának / -ban ) kell lennie !
tehát a http://enoldalam.com/enkonyvtaram/enflashem.swf CSAK és KIZÁRÓLAG a http://enoldalam.com/enkonyvtaram/ -on belüli objektumokat érheti el mint pl.:
http://enoldalam.com/enkonyvtaram/enflashemmasodikresze.swf vagy
http://enoldalam.com/enkonyvtaram/enlamerkodasom/fullflashsite.xml... a flash
publikálásánál (fordítás) meg kell határozni, hogy a flash offline, vagy online verzió lesz-e és ez utóbbi eseben az említett módon viselkedik. ha pedig offline, akkor pedig CSAK és KIZÁRÓLAG a saját gépben van joga kotorászni úgyszintén CSAK és KIZÁRÓLAG a ./ -ben ... mittomén:
c:\idetöltöttemflasheket\netesVIRUSOSfless.swf csak a
c:\idetöltöttemflasheket\ -on belüli cuccokat tudja olvasni !!!!
Ismétlem : ______________A HÍR HOAX______________ -
#5 Most itt a flashplayerben van a hiba vagy magában a flashben? Mostanában már elég sok szép fullflash oldal van, amit újra kell majd csinálni az új flashel vagy elég lesz az új flashplayer a felhasználóknak? -
kvp #4 Ha a hir igaz, akkor ez azt jelenti, hogy a flash script motorjaban nincs cross site scripting vedelem. Tehat ha te egy oldalon betoltesz egy flash animaciot, akkor az be tud tolteni egy masik animaciot, mondjuk egy banket. Ezutan az elso flash kod kiolvassa a masodik flash kod altal elerheto infokat, pl. a banki adatokat tarolo sutiket. Igy eleg egy google altal kidobott oldalra kattintani, mondjuk a 'karacsonyi nyuszis blogra', amiben van egy flash. Innentol az osszes banki info ami a bongeszoben volt atmegy a flash-t felrako tulajdonaba. Elemeletileg eleg ranezni egy fertozott oldalra, nem kell kattintani sem.
ps: A javitas annyi, hogy le kell tiltani a site-ok kozotti flash betoltes lehetoseget, tehat egy flash animacionak nem szabad mas oldalakat betoltenie. Ez a legtobb flash-es linket, toolbart es nyomogombot tonkrevagja, de legalabb biztonsagossa tenne a flash-t. Alternativa meg az objektummodell urjagondolasa, ami csak az ujabb verziokban lesz lehetseges. A bongeszo meg letilthatja a sutik hasznalatat flash alatt, amitol meg az osszes flash-es jatek beadja a kulcsot. -
arrakistor #3 Összesítve ez a hír egy HOAX, avagy K.A.C.S.A. ... burried .. -
arrakistor #2 "Az eredeti flash-tartalmakat módosítják, saját kódot fűzve hozzá az eredetihez (ez a cross-site scripting, vagy XSS technológia), így megszerezhetik a felhasználó böngészője által korábban felhasznált cookie fájlokat és egyéb fontos adatokat."
- Namost ez kb. ugyanaz mint az a mondat aminél kikapcsoltam a videót a _Függetlenség napja_ c. filmben:
"... és akkor behatolhatunk az idegenes számítógépes adatbázisába..."
némi "hozzáértőnek tűnő" rizsa körítés hozzá-adagolásával. Az XSS-nek ég világon semmi köze nincs a flash-hez , a "flash-applet"-nek pedig gyakorlatilag semmi joga nincsen a sajátgépben kotorászni. Az hogy ki hova kattint pedig csak maximum a júzer lecserélésével fogják kiszűrni a t. szakenberek . -
#1 Ez jó vicc ilyen alapon lenyulom bármely oldal flash betétjét átírom az fla-t és kész ez most olyan mint a sapnyol viasz aki hülye enélkül is átverhető aki meg nem, nem fog csak úgy egy ,,gyere ide" linkre katintva kiadni magáról bármit...