Venus AUEB Forum

Online κοινότητα των φοιτητών Πληροφορικής του Ο.Π.Α.
https://venus.cs.aueb.gr/

Ένας 14χρονός τους έβαλε τα γυαλιά ...

https://venus.cs.aueb.gr/viewtopic.php?f=46&t=2412

Page 1 of 1

Ένας 14χρονός τους έβαλε τα γυαλιά ...

Posted: Thu Mar 02, 2006 7:13 pm
by The Punisher
Ένα 14χρονο παιδί, γνωστό στο Διαδίκτυο ως Anthony, ανακάλυψε ένα σημαντικό κενό ασφαλείας στη δημοφιλή υπηρεσία Web mail του Google, το Gmail. Στο blog του, όπου εμφανίζεται με ηλικία μόλις 14 ετών, ο Anthony ισχυρίζεται πως το κενό ασφαλείας μπορεί να χρησιμοποιηθεί για συλλογή διευθύνσεων e-mail ή ακόμα και για παραβίαση ενός συγκεκριμένου λογαριασμού.


Ο Anthony προσπαθούσε να στείλει με mail κώδικα JavaScript από το λογαριασμό του στο Yahoo, στο λογαριασμό του στο Gmail, όταν εντόπισε το κενό ασφαλείας. Ειδικότερα, ο νεαρός διαπίστωσε πως το Gmail επιχείρησε να εκτελέσει τον κώδικα στην προεπισκόπηση του μηνύματος.

Μετά από δοκιμές ο Anthony κατάλαβε πως κάτι τέτοιο συμβαίνει μόνο σε μηνύματα προερχόμενα από το Yahoo. Το κενό ασφαλείας επιβεβαιώθηκε και από άλλους χρήστες της υπηρεσίας.
Πηγή: PCMagazine

Posted: Wed Apr 12, 2006 10:39 am
by The Godfather
Μπράβο ο μικρός.........

Re: Ένας 14χρονός τους έβαλε τα γυαλιά ...

Posted: Wed Apr 12, 2006 11:40 am
by vagalati
The Punisher wrote:
Ο Anthony προσπαθούσε να στείλει με mail κώδικα JavaScript από το λογαριασμό του στο Yahoo, στο λογαριασμό του στο Gmail, όταν εντόπισε το κενό ασφαλείας. Ειδικότερα, ο νεαρός διαπίστωσε πως το Gmail επιχείρησε να εκτελέσει τον κώδικα στην προεπισκόπηση του μηνύματος.

Μετά από δοκιμές ο Anthony κατάλαβε πως κάτι τέτοιο συμβαίνει μόνο σε μηνύματα προερχόμενα από το Yahoo. Το κενό ασφαλείας επιβεβαιώθηκε και από άλλους χρήστες της υπηρεσίας.
Ωπα! Κάτσε για να καταλάβω... Η JavaScript είναι client-side (εκτελείται από τον browser) τι σχέσει έχει με τον server στο gmail? Εκτός και αν στο gmail o server εκτελεί και client-side κώδικα.....

Posted: Wed Apr 12, 2006 11:48 am
by The Punisher
Εκτός και αν στο gmail o server εκτελεί και client-side κώδικα
Μαλλον αυτό θα ισχύει...

Posted: Thu Apr 13, 2006 6:19 pm
by vagalati
Το κόλλημα είναι ότι ο κώδικας ήταν javascript.. δεν υπάρχει (τουλ. απ'όσο γνωρίζω εγώ) λογισμικό από την πλευρά του server που να εκτελεί javascript (και δεν έχει νόημα)

Posted: Thu Apr 13, 2006 7:33 pm
by PaP
Μα είναι AJAX, δηλαδή τρέχει server-side javascript

Posted: Thu Apr 13, 2006 8:07 pm
by vagalati
PaP wrote:Μα είναι AJAX, δηλαδή τρέχει server-side javascript
OK didn't know that. Λίγο search στο google βγάζει πολύ πράγμα για javascript server-side programming... Δεν την είχα υπ'οψη μου (δεν είχα ψαχτεί και ποτέ.. η php μου ήταν ανέκαθεν αρκετή)

Posted: Thu Apr 13, 2006 8:23 pm
by PaP
Κάτσε να στείλω μία αναφορά στο UCSD να σε σκίσουν στο javascript server-side για να ψαχτείς ... ;-)
All times are UTC+03:00
Page 1 of 1

Powered by phpBB® Forum Software © phpBB Limited