4
  • GyaxyBoy
    #4
    Remélem ez a palesztin gyerek talál más hibát is, de azt már nem nekik foglya közölni, hanem pár rossz indulatú embernek és Zuckerber ellen irányítják a támadást. Aljas kis sunyi dög.
  • Dodo55
    #3
    Nem értem azért teljesen, hogy hogyan kerülhetnek elő a mai napig ilyen hibák.

    Ezekből a hírekből mindig az jön le nekem, hogy szimplán backend oldali jogosultságellenőrzések hiánya okozza ezeket a biztonsági réseket. Ami csak azért gáz, mert én "szar kis senkiként" minden adatmódosítást végző vagy kényesebb adatokat lekérő scriptet azzal kezdek.

    Persze magában a jogosultságellenőrzésben is előfordulhatnak hibák, de érdekes módon ha nálam befigyelt ilyen, abból mindig az lett, hogy "hozzáférés megtagadva", nem pedig fordítva. Nagyrészt megközelítés kérdése ez (persze egy kevés szerencse sem zárható ki), tiltani kell mindent először, aztán az engedélyezést meg olyan feltélekhez kell kötni, amik ellenállóak a típuskonverziókból fakadó esetleges félreértéseknek (PHP-ban pl. a string - nem string összehasonlítások szeretnek néha nem várt igaz-hamis értékeket visszaadni). Meg aztán eleve egy ekkora cégnél simán kell, hogy legyen megfelelő infrastruktúra és munkaerő az ilyen kritikus részeket valami szigorúbb, típusbiztos nyelven megírni. Legtöbbször azoknál már az IDE leordítja a programozó fejét gépelés közben, ha ilyen hibára hajlamos dolgokkal próbálkozna :)

    Mondjuk ismerve Zuckerberg mentalitását azért azt el tudom képzelni, hogy a cég ha már egyetlen fillért meg tud valamin spórolni, akkor azt meg fogja, csak azt felejtik el mindig, hogy az ilyen és egyéb esetek miatt a megítélésüket ez már a föld alá vitte egy jó ideje. Bár úgy látom ez sem nagyon szokta őket zavarni.
  • Narxis
    #1