[LUGOS] Re: firefox edavki game over
Miha
gazda153 at gmail.com
Mon Apr 10 18:06:05 CEST 2006
Koda sluzi temu, da avtomaticno trojanc nebi moral POSTati. Torej more
uporabnik prebrati kodo in jo vnesti.
Ce trojanc caka da uporabnik vnese kodo, je pa uporabnik ze videl xml in ga
podpisal, tako da trojanc drugega kot pravilne podatke ne more POSTati.
Nepravilne podatke bo server zavrnil.
Koda je torej samo se en nivo ki naj bi prepreceval avtomatizacijo. Brez da
uporabnik vnese kodo se nekaj v ozadju ne more zgoditi.
Zdaj a je to nepotrebno ali ne.... meni se ne zdi recimo tezavno vnesti
tisto kodo. Precej enostavno opravilo, za vsakega. Ce se zgodi da se ne da
prebrati pa mislim da pise na strani da refreshas in je. Moje mnenje: to je
se najmanj problematicen del celotnega postopka.
On 4/10/06, Jure Koren <jure at hehe.si> wrote:
>
> On Monday 10 April 2006 17:39, x x wrote:
> > Se opravicujem, malce povrsno berem. Ti bi zahookal POST event recimo in
> > potem spremenil podatke.
> > Won't work. Takrat je XML ze zloadan in podpisan. Podpisanega file-a pa
> ne
> > bos mogel spremeniti.
>
> Kateri XML je zloadan in podpisan? Tisti, ki ga je prej poslal trojanec?
>
> Kako lahko povezes XML dokument s tisto stevilko? A je tista stevilka
> vpisana
> v XML dokumentu? Tudi ce je, ima do nje trojanec enak dostop kot do XML
> dokumenta pred podpisovanjem.
>
> --
> Jure Koren, unix developer
> Hehe d.o.o.
>
>
> _______________________________________________
> lugos-list mailing list
> lugos-list at lugos.si
> http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-list
>
>
>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://liste2.lugos.si/pipermail/lugos-list/attachments/20060410/92735421/attachment.html
More information about the lugos-list
mailing list