Vlákno názorů k článku ČSOB podcenila zabezpečení svého webu od running - náhodou, narozdíl od různých zpráviček, glos a článků...
-
Taky jsi to mohl rovnou vložit
"
The fundamental difference between the POST and PUT requests is
reflected in the different meaning of the Request-URI. The URI in a
POST request identifies the resource that will handle the enclosed
entity. That resource might be a data-accepting process, a gateway to
some other protocol, or a separate entity that accepts annotations.
In contrast, the URI in a PUT request identifies the entity enclosed
with the request -- the user agent knows what URI is intended and the
server MUST NOT attempt to apply the request to some other resource.
If the server desires that the request be applied to a different URI,
it MUST send a 301 (Moved Permanently) response; the user agent MAY
then make its own decision regarding whether or not to redirect the
request.
" -
hnidopich (neregistrovaný)Asi v polovine clanku:
"U formulářových prvků se nenechte zmást rozdílem mezi HTTP GET a HTTP PUT. Je uplně jedno, kudy se informace z formuláře předávají (parametry URI vs. součást HTTP komunikace). Není vůbec problém si vlastní upravený formulář připravit na lokálním disku a pracovat s ním."
Metody POST a PUT jsou dost odlisne; autor mel pravdepodobne na mysli POST (pouziva se pro odesilani formularovych dat etc.), nebot PUT se na webovych strankach prakticky nevyuziva.
RFC 2616 (HTTP/1.1) dokonce primo hovori o rozdilu mezi POST a PUT (sekce 9.6, odstavec 3).
Jinak clanek dobry, uvidime, jak bude (bude-li vubec) CSOB reagovat -
Vzhledem k tomu, že autor díru o které je řeč reportoval už včera na svém blogu, tak je ten postup přesně opačný.
Objevena chyba, oznámena ČSOB, zveřejněna,
Aleš Miklík poprosil o článek, já namítal že článek jenom o jednom děravém webu je málo,
nakonec z toho vznikl tenhle dlouhý článek o principech a ochraně.
Následně jsem se ještě po dopsání šel podívat na pár dalších webů, vznikl poslední odstavec s praktickými příklady.
Titulek a perex je dílem redakce, nemám s ním problém a odsouhlasil jsem jej. -
Mirek (neregistrovaný)Hmm, fakt to trochu zavani tim, ze autor nejdriv napsal pojednani o XSS a pak hledal diry a nasledne zvolil titulek.
Ale to nic nesnizuje na faktu, ze je treba v tomhle delat osvetu a vedet o XSS je nutnost nejen pro programatora, ale i cloveka, starajiciho se o danou sluzbu po produktove strance!
Prave takovy ten pristup "aha, vy jste zmenil logo, pekne a co?", je dost "oblibeny" a deprimujici.
A jako uvodni obecny clanek to bylo velmi dobre - dobra osnova i obsah. Nektere body bych mozna vic zduraznil a par veci pridal... :-)
