Názory k článku
Mailové schránky na Centru, Volny a Tiscali v nebezpeci!

Jestli ukládají jména a hesla do cookies tak to at jsou do ....
Opravdu zapezpečení jak noha...

Tiez nechapem...ako niekto moze taku chujovinu vobec vymysliet?

Já myslím, že je to ještě dobré. Představ si, kdyby jméno a heslo ukládali do URL:

mail.centrum.cz/login.php?name=ZloBr&pass=ZloBr

;-) (A já věřím, že se najdou lidé, co to tak udělali...)

Jo, uz jsem jednou neco takovyho videl, jedna aplikace kde byl loginform a METHOD=GET
Jmeno a heslo pak bylo samozrejme videt v historii, adresnim radku, nabizelo to pak i v adrese jako autocomplete :) Nastesti po mem upozorneni to dotycny zmenil na POST :)

To mate stejne jedno, pokud si nekdo vybira postu pres pop3 tak je tam stejne heslo nesifrovany :-D

pokud by nekdo chtel mit fakt bezpecny email, tak musi jit pres https a imaps :-D

nebo pop3s :)

Set-Cookie: agent_uid=Zdravime+vsechny+neprofesionalni+redaktory+kteri+se+nenamahaji+sva+tvrzeni+overit+v+praxi+%3A%29

Ja jenom posilam, co mi nastavuje VOLNY jako obsah zminene "citlive" cookie dneska.

Hele tady nejde furt jen o ty cookies, jde o to, ze tu chybu tam maj, spusti vsechno co poslete v html souboru takze nejde jen o cookies, takovouhle chybou by se dal napachat mnohem vetsi bordel, nez krast cookies.

Ja tomu naozaj nerozumiem. Ti ludia su snad uplne jeb****.

Ved ked mam slusny kod, validujem vstup a escape-ujem vsetko co pustam do databazy alebo do browseru pouzivatela, nemoze sa nic stat.

Ak niekto uklada meno a heslo nie do session uloziska ale do cookies... tomu niet asi pomoci.

Problem je v okamziku, kdy se posila HTML mail. Ten se, pokud uzivatel chce, zobrazi v HTML. A zde je kamen urazu - pokud HTML obsahuje JS, tak se tento pochopitelne spusti. Webmaily se pokousi HTML filtrovat. Jenze jelikoz se prohlizece pokousi interpretovat i spatne napsane HTML, je silne pravdepodobne, ze nektere chybne HTML odfiltruje ten filtr jinak nez ho browser interpretuje a JS kod se podari zobrazenim mailu spustit.

P.S.: Kdyby se pouzivalo to "zbytecne" XHTML, takovehle problemy by nebyly...

Taky by mě zajímalo, kde se u nás vzala živná půda pro XHTML fobii. Nic lepšího k dispozici není, tak k čemu ty pindy na Lupě a Rootu.

Protoze holt lidi jsou lini psat mezeru a lomitko :-))

A jak se teď mám do té své schránky dostat? Zrovna to nutně potřebuju, jinak neodjedu na dovolenou :-(. To je fakt den na pytel...