BTS: http://ep09.kernel.pl/~pawelk/mbt/src
Paweł Kołodziej
pawelk w pld.org.pl
Pon, 12 Lis 2001, 17:29:51 CET
Dnia Mon, Nov 12, 2001 at 11:26:10AM +0100, Jacek Konieczny napisał(a):
> On Sun, Nov 11, 2001 at 08:00:03PM +0100, Paweł Kołodziej wrote:
> > - w urlu jest przechowywany pelen kontekst (tzn jego id --
> > mniejsza o szczegoly) co powoduje ze nie powinno sie podawac
> > zadnych URL'i do tego BTS'a. Jesli komus dostanie sie czyjs URL
> > to ma pelen dospe do konta tej osoby w BTS. W szczegolnosci moze
> > wlozyc jakies bezsensowne raporty.
>
> Z takim security-bug to ma być "prawie gotowe"?
tak. Watpie by ktos mazyl o tym by zaatakowac naszego bts'a i dodac
bezsensowne bugreporty (bo usunac nic nie mozna).
> To już lepiej chociaż używać
> metody "POST" do przekazywania parametrów.
Ale wtedy wszystko musi byc formularzem.
>Przynajmniej w logach proxy
> itp. nie będą się pojawiać "niebezpieczne" informacje.
> A jak się do tego doda SSL to problem zupełnie zniknie.
a samo ssl nie wstarczy ? (/me nie zna sie na ssl).
--
Paweł Kołodziej -- pawelk w pld.org.pl
"Człowiek ma zadziwiającą skłonność do stwarzania problemów
dla samej przyjemności ich rozwiązywania"
(Joseph de Maistre)
Więcej informacji o liście dyskusyjnej pld-devel-pl