Adriano - WEB is Brutal

Zamień 2 psy i kota na konia - konkurs AntyWeb

Dwa psy i jeden kot za konia? kto by się nie skusił na taką wymianę... :)
Hazan z AntyWebu (wraz ze Startupschool.pl) wczoraj ogłosił na swoim blogu niecodzienny konkurs. Zasady są proste: masz pomysł na biznes (startup)? Oddaj go, a w zamian dostaniesz 'aż' 5% udziału we własnym pomyśle. Konia niestety nie dostaniesz. Koń będzie stał i się śmiał.

Szczegóły we wpisie wyżej podlinkowanym, tak więc nie powtarzam...

Czemu o tym piszę? Bo widzę, że tutaj ktoś chce kogoś zrobić 'w konia'. Pięć procent udziału w biznesie którego jest się inicjatorem? Czy to przypadkiem jest jest jakiś absurd? Ludzie nie potrafią cenić swoich pomysłów - do konkursu zgłoszono już ich ponad setkę. Niektóre z nich są nawet dobre i przemyślane (wymagają jednak dopracowania).

Natio.pl podkrada Twoje dane i zdjęcia?

Wyobraź sobie, że zakładasz konto w jednym z wielu serwisów społecznościowych. Podajesz swoje dane, udostępniasz zdjęcia, itd. Akceptując regulamin serwisu zezwalasz aby Twoje informacje w całości, lub w części były dostępne dla użytkowników serwisu.
Następnie okazuje się, że odnajdujesz siebie, oraz swoje zdjęcie na stronie na której nigdy się nie rejestrowałeś. Dodatkowo odkrywasz, że Twoje imię i nazwisko znajduje się w "Powszechnym spisie ludności" w serwisie, o którym nigdy wcześniej nie słyszałeś, a który umożliwia dodatkowo wyszukanie Ciebie. Będziesz z tego zadowolony?

Allegro i XSS - historia sie powtarza

Wczoraj w Sieci pojawiła sie informacja o wykryciu nowej luki w Allegro, która wykorzystuje CSS do 'podmiany' stałych elementów aukcji. Hmm, przecież ponad miesiąc temu mieliśmy podobną sytuację ...
Więcej o tej sprawie i niezałatanych lukach napisałem w artykule "Allegro: bezpieczeństwo? Co to takiego?".
Ale teraz przejdźmy do konkretów: dzisiaj odkryłem nową lukę bezpieczeństwa, która pozwala na wstawienie do opisu aukcji dowolnego kodu: HTML i JavaScript, a także możemy osadzić obiekty typu Flash, oraz inne (w zależności od naszych upodobań).

Nowy Wykop już bezpieczny

Przedwczoraj pisałem o odkrytych lukach w serwisie Wykop.pl.
Dzisiaj mogę z czystym sumieniem powiedzieć, że obecny poziom bezpieczeństwa Wykopu jest wyższy, niż w przypadku poprzedniej wersji serwisu. Tego wszyscy chcieliśmy ;)

W ostatnim wpisie nie zdradziłem sposobu, za pomocą którego można było wstawić dowolny kod CSS / JS do komentarzy - teraz opiszę to wszystko dokładnie. Osoby posiadające własne strony, będą mogły sprawdzić ich zachowanie na podstawie przykładów które podam.
Opiszę także inne luki, których istnienia nie ujawniłem, a zostały skutecznie załatane.

Wykop i XSS - czyli przejmujemy kontrolę

Niedawno została oddana Internautom trzecia wersja popularnego serwisu Wykop.pl. Istotną zmianą było przepisanie całego Wykopu na PHP - już przed 'oficjalną premierą' pojawiły się pierwsze fale krytyki dotyczące tej zmiany. Zwykły użytkownik poza zmienioną szatą graficzną nie dostał nic nowego, ale czy na pewno? W tym wpisie przedstawię 'nowe możliwości' Wykopu, o których nie wie jeszcze nikt (z drobnymi wyjątkami), włącznie z samymi twórcami Wykopu.

Gmail - powiadomienia SMS

sms

Powiadomienia o nowych wiadomościach e-mail wysyłane na komórkę poprzez SMS to nic nowego. Jednak najczęściej za taką usługę należy zapłacić (nie spotkałem się z 'darmowymi' powiadomieniami). Oczywiście pisząc "darmowymi" nie mam na myśli dodatkowych funkcji płatnych skrzynek e-mail.

Dzisiaj przedstawię prosty sposób, na 'włączenie' powiadomień SMS dla osób korzystających z Gmaila (większość?). Szukałem takiej opcji w ustawianiach - nie znalazłem jej. Natrafiłem jednak na kilka opcji, które okazały się przydatne. Pokaże w jaki sposób można 'zmusić' Gmaila, aby (pośrednio) wysłał nam SMS'a na dowolny numer z informacjami o nowej wiadomości (nadawca, czas, temat).

Luka w Allegro załatana

Allejaja

Luka bezpieczeństwa o której pisałem w sobotę została dzisiaj skutecznie załatana*. Już nie ma możliwości wstawiania do opisu aukcji skryptów JavaScript, obiektów Flash, a także zakazanych ciągów znaków.
Jednak niebezpieczeństwo nadal istnieje.
Odkryta przeze mnie druga luka, pozwalająca na użycie ujemnych marginesów nadal istnieje. Także luka związana z 'position: fixed;', odkryta przez Pawła Węgrzyna (Krejd), również stanowi pewne zagrożenie dla nieświadomych użytkowników Allegro.

Kolejna luka bezpieczeństwa w Allegro

Jak wiadomo, po raz kolejny 'odkryto' lukę w serwisie aukcyjnym Allegro. Podstawowa znajomość CSS'a wystarczyła, aby przekierować użytkownika na dowolnie spreparowaną stronę. Bug został częściowo załatany, zapowiadane są ograniczenia niektórych atrybutów CSS. Czy po zmianach Allegro będzie bezpieczne?
Dzisiaj odkryłem luke bezpieczeństwa w serwisie Allegro, która pozwala wstawić do opisu aukcji dowolny kod CSS, (X)HTML, JavaScript, ...

Próbóje uporządkować Internet ...

PlayM.pl

Na początku zaznaczam, że to nie jest artykuł sponsorowany (rzadko piszę o konkretnych stronach). Chcę się tylko podzielić kilkoma uwagami, które dotyczą nowego/dziwnego serwisu. PlayM.pl to strona, którą warto zobaczyć. Warto, ponieważ ma ona na celu ... (W tym miejscu zastanawiam się co napisać).
Administrator PlayM.pl jednak opisał dokładnie cel swojego dzieła. Może zbyt dokładnie ...

Załóż kominiarkę - jesteś złodziejem.

WEB-Złodziej

Pamiętasz jakie strony odwiedziłeś przed chwilą? Czy zwróciłeś uwagę na znajdujące się na nich reklamy AdSense, bannery flash, linki sponsorowane? Jeżeli nie, to jesteś złodziejem!
Czy korzystasz z oprogramowania które blokuje jakiekolwiek reklamy na stronach (AdBlock, firewall, itp)? Jeżeli tak, to jesteś złodziejem!Jak najszybciej przetnij kabel sieciowy, udaj się do najbliższego komisariatu i przyznaj się do winy, bo jesteś złodziejem!