Vlákno názorů k článku
ČSOB podcenila zabezpečení svého webu
přýtel (neregistrovaný)
24. 4. 2008 9:22
Bombastický nadpis a článek skoro o ničem...
Smutná nemoc českých novin... :(((
aura:35
24. 4. 2008 9:31
Re: Bombastický nadpis a článek skoro o ničem...
Tak to jsi teda úplně mimo, tohle je po dlouhé době konečně něco zajímavého, kde nejsou chyby.
trautmberk (neregistrovaný)
24. 4. 2008 12:19
Re: Bombastický nadpis a článek skoro o ničem...
jestli neni chyba zamena HTTP POST za HTTP PUT, tak si dam este jeden obed.
Buhvi, kolik je tam toho dalsiho.
Buhvi, kolik je tam toho dalsiho.
aura:35
24. 4. 2008 12:38
Re: Bombastický nadpis a článek skoro o ničem...
Tak v tom se nevyznám, řekni kde, ať to opraví.
Mě se článek líbí, protože je to konečně zase něco odborného a ne ty obvyklé slátaniny.
Mě se článek líbí, protože je to konečně zase něco odborného a ne ty obvyklé slátaniny.
hnidopich (neregistrovaný)
24. 4. 2008 13:09
Re: Bombastický nadpis a článek skoro o ničem...
Asi v polovine clanku:
"U formulářových prvků se nenechte zmást rozdílem mezi HTTP GET a HTTP PUT. Je uplně jedno, kudy se informace z formuláře předávají (parametry URI vs. součást HTTP komunikace). Není vůbec problém si vlastní upravený formulář připravit na lokálním disku a pracovat s ním."
Metody POST a PUT jsou dost odlisne; autor mel pravdepodobne na mysli POST (pouziva se pro odesilani formularovych dat etc.), nebot PUT se na webovych strankach prakticky nevyuziva.
RFC 2616 (HTTP/1.1) dokonce primo hovori o rozdilu mezi POST a PUT (sekce 9.6, odstavec 3).
Jinak clanek dobry, uvidime, jak bude (bude-li vubec) CSOB reagovat
"U formulářových prvků se nenechte zmást rozdílem mezi HTTP GET a HTTP PUT. Je uplně jedno, kudy se informace z formuláře předávají (parametry URI vs. součást HTTP komunikace). Není vůbec problém si vlastní upravený formulář připravit na lokálním disku a pracovat s ním."
Metody POST a PUT jsou dost odlisne; autor mel pravdepodobne na mysli POST (pouziva se pro odesilani formularovych dat etc.), nebot PUT se na webovych strankach prakticky nevyuziva.
RFC 2616 (HTTP/1.1) dokonce primo hovori o rozdilu mezi POST a PUT (sekce 9.6, odstavec 3).
Jinak clanek dobry, uvidime, jak bude (bude-li vubec) CSOB reagovat
aura:99
24. 4. 2008 13:14
Re: Bombastický nadpis a článek skoro o ničem...
Měl, moje chyba. A to jsem se to večer po deváte snažil přečíst několikrát a stejně mi to uteklo.
Ash (neregistrovaný)
24. 4. 2008 21:11
Re: Bombastický nadpis a článek skoro o ničem...
Já tedy nevím, ale to jste to moc nevylepšíl, teď tam pro změnu máte HTTP POST a HTTP PUT, oproti zřejmě zamýšlenému HTTP POST a HTTP GET :)
Trautmberk (neregistrovaný)
25. 4. 2008 0:00
Re: Bombastický nadpis a článek skoro o ničem...
... je to zkratka odbornik, jak ma byt ...
aura:35
24. 4. 2008 14:06
Jsi mohl
Taky jsi to mohl rovnou vložit
"
The fundamental difference between the POST and PUT requests is
reflected in the different meaning of the Request-URI. The URI in a
POST request identifies the resource that will handle the enclosed
entity. That resource might be a data-accepting process, a gateway to
some other protocol, or a separate entity that accepts annotations.
In contrast, the URI in a PUT request identifies the entity enclosed
with the request -- the user agent knows what URI is intended and the
server MUST NOT attempt to apply the request to some other resource.
If the server desires that the request be applied to a different URI,
it MUST send a 301 (Moved Permanently) response; the user agent MAY
then make its own decision regarding whether or not to redirect the
request.
"
"
The fundamental difference between the POST and PUT requests is
reflected in the different meaning of the Request-URI. The URI in a
POST request identifies the resource that will handle the enclosed
entity. That resource might be a data-accepting process, a gateway to
some other protocol, or a separate entity that accepts annotations.
In contrast, the URI in a PUT request identifies the entity enclosed
with the request -- the user agent knows what URI is intended and the
server MUST NOT attempt to apply the request to some other resource.
If the server desires that the request be applied to a different URI,
it MUST send a 301 (Moved Permanently) response; the user agent MAY
then make its own decision regarding whether or not to redirect the
request.
"
uživatel si přál zůstat v anonymitě
24. 4. 2008 13:30
Re: Bombastický nadpis a článek skoro o ničem...
Stejné nesmysly píše autor o tom, že znaky < a > jsou z ISO-8859-1.
Jedná se znaky ASCII-1, které jsou ve všech tabulkách. A v UTF-8 jsou proto, že se právě jedná o transformaci Unicodu tak, aby ASCII-1 znaky v ní byly na 1 byte (stejně jako v jiných tabulkách).
Jedná se znaky ASCII-1, které jsou ve všech tabulkách. A v UTF-8 jsou proto, že se právě jedná o transformaci Unicodu tak, aby ASCII-1 znaky v ní byly na 1 byte (stejně jako v jiných tabulkách).
DuDDo (neregistrovaný)
24. 4. 2008 9:55
Re: Bombastický nadpis a článek skoro o ničem...
Ja mam presne opacny nazor - clanok je velmi dobry, ale zle zvoleny nazov. (Ak ho budem niekedy v buducnosti hladat, koli nejakym informaciam, urcite ho podla nadpisu v mojej historii precitanych clankov preskocim :-( )
legoxx (neregistrovaný)
24. 4. 2008 9:58
Re: Bombastický nadpis a článek skoro o ničem...
tiez mi pride ze clanok bol zaujimavy, dakujem autorovi
Mirek (neregistrovaný)
24. 4. 2008 10:37
Re: Bombastický nadpis a článek skoro o ničem...
Hmm, fakt to trochu zavani tim, ze autor nejdriv napsal pojednani o XSS a pak hledal diry a nasledne zvolil titulek.
Ale to nic nesnizuje na faktu, ze je treba v tomhle delat osvetu a vedet o XSS je nutnost nejen pro programatora, ale i cloveka, starajiciho se o danou sluzbu po produktove strance!
Prave takovy ten pristup "aha, vy jste zmenil logo, pekne a co?", je dost "oblibeny" a deprimujici.
A jako uvodni obecny clanek to bylo velmi dobre - dobra osnova i obsah. Nektere body bych mozna vic zduraznil a par veci pridal... :-)
Ale to nic nesnizuje na faktu, ze je treba v tomhle delat osvetu a vedet o XSS je nutnost nejen pro programatora, ale i cloveka, starajiciho se o danou sluzbu po produktove strance!
Prave takovy ten pristup "aha, vy jste zmenil logo, pekne a co?", je dost "oblibeny" a deprimujici.
A jako uvodni obecny clanek to bylo velmi dobre - dobra osnova i obsah. Nektere body bych mozna vic zduraznil a par veci pridal... :-)
aura:99
24. 4. 2008 10:56
Re: Bombastický nadpis a článek skoro o ničem...
Vzhledem k tomu, že autor díru o které je řeč reportoval už včera na svém blogu, tak je ten postup přesně opačný.
Objevena chyba, oznámena ČSOB, zveřejněna,
Aleš Miklík poprosil o článek, já namítal že článek jenom o jednom děravém webu je málo,
nakonec z toho vznikl tenhle dlouhý článek o principech a ochraně.
Následně jsem se ještě po dopsání šel podívat na pár dalších webů, vznikl poslední odstavec s praktickými příklady.
Titulek a perex je dílem redakce, nemám s ním problém a odsouhlasil jsem jej.
Objevena chyba, oznámena ČSOB, zveřejněna,
Aleš Miklík poprosil o článek, já namítal že článek jenom o jednom děravém webu je málo,
nakonec z toho vznikl tenhle dlouhý článek o principech a ochraně.
Následně jsem se ještě po dopsání šel podívat na pár dalších webů, vznikl poslední odstavec s praktickými příklady.
Titulek a perex je dílem redakce, nemám s ním problém a odsouhlasil jsem jej.
tomáš (neregistrovaný)
24. 4. 2008 14:46
Re: Bombastický nadpis a článek skoro o ničem...
Tohle je podle mého dost dobrý článek od člověka, který ví o čem píše.
running (neregistrovaný)
25. 4. 2008 0:51
Re: Bombastický nadpis a článek skoro o ničem...
náhodou, narozdíl od různých zpráviček, glos a článků o "webu 2.0" je tohle jeden z mála dobrých článků na lupě
