Vlákno názorů k článku Postřehy z bezpečnosti: vykutálený PayPal od NooN - "...Praktická ukázka pro server BBC ukazuje, jak může...

"...Praktická ukázka pro server BBC ukazuje, jak může útočník ovládnout nejen webovou kameru, ale celý systém...."
....
To snad nemyslia vazne. :) Ten "HACKER" je ako vystrihnuty z americkych filmov, 2-3 clicky a hacknuty a stiahnuty je cely internet. Keby sa viac snazili ohladom technickeho prevedenia ako o vizaz, mozno by to bolo ine.
Ale pre masy ludi je to pekne video, ktore prekvapi a vystrasi. A presne taketo veci treba davat do TV.

Jenže ten útok skutečně tak jednoduchý je. Navíc pro tento typ útoku ani nepotřebuješ javu. Stačí JS a tohle http://beefproject.com/. Mě přijde škoda, že tam tolik mluví o kódu. To odradí spoustu lidí co o tom nic neví. Programátoři tohle doufám znají a není to pro ně žádná novinka.

To my chces povedat, ze ak na lubovolne napr. "forum" vlozim do textboxu alebo textarey nejaky kod v HTML, tak sa mi automaticky tento kod vykona po zobrazeni?
Nemyslis si ze su potreba este urcite dalsie veci k tomu aby si vobec nieco takeho mohol vykonat?
Ze aj programator toho daneho webu musi byt troska zaostaly?

Je to jeden z typů útoku. A ano, v dnešní době by webový vývojář měl mít implementována protiopatření. Typu převádět znak < na něco jiného. Ani to ale neřeší problém úplně, on se občas najde i způsob, jak to u konkrétního webu obejít (propašovat to do otevřeného tagu, kupříkladu do linku http://neskodny.web.com/a.gif", onclick="a jedem!)

Ak niekto nema osetrene vstupy a vystupy, tak do ruky lopatu...
Toto je zakladne pravidlo, zialbohu vela rychlokvasenych "programatorov" si tieto veci vobec neuvedomuje.
Preto sa mi dany sposob utoku zdal len nieco ako lacne ohurenie "pomalsie chapajucich"...