Logga in Bli affärsmedlem
Zoopet

Säkerhetshålet...

FI
#1 - 13 april 2005 18:04
Jag läste den nu bortplockade tråden som skrevs i zoopet-kategorin, loggade ut och gjorde ett test på två foton man inte ska komma åt som icke-medlem, allt som behövdes var att gå till den mindre versionen och högerklicka samt pilla lite med filnamnet i sökvägen så kunde man komma åt det större fotot.

Detta bör ni försöka fixa, den verkliga sökvägen till bilden borde man inte kunna komma åt genom att högerklicka på bilden. Och om man försöker gå direkt till den större bilden via webbläsaren så borde man komma till någon slags inloggningsruta om man inte är inloggad som GOLD-medlem.
Det här känns som en hyfsat allvarlig säkerhetsbugg, det gick även att komma åt bilder i zoopets stora fotoarkiv på ett liknande sätt och förmodligen andra saker jag inte har hunnit testa ännu.
Kjell Fohrman
Administrator
#2 - 13 april 2005 18:46
Vi vet om detta men enligt Christian är det MYCKET svårlöst och det fungerar ju också bara för enstaka foton och inte om man systematiskt vill kolla igenom t.ex. Zoopets stora fotoarkiv.
Om någon har någon enkel lösning på problemet så tipsa gärna oss om detta.
Jeza
#3 - 13 april 2005 21:09
Finns det inte ganska så enkla applikationer som gör att man inte kan högerklicka på bilder?
heljis
#4 - 13 april 2005 21:31
Jo, men de är löjligt enkla att ta sig förbi :)
admin
Christian Alfredsson
#5 - 14 april 2005 05:02
Har funderat en hel del och det enda jag kan tänka mig är att aktivera .htaccess. Det skulle isåfall innebära att man får ytterligare en fråga om namn och lösenord. Man måste då använda ett enda namn. Tex samma som första sidan.
erland
#6 - 14 april 2005 17:39
Jag antar att användarna finns i vBulletins user database, i sådana fall kanske dessa trådar kan ge någon ledtråd till lösning:

http://www.vbulletin.org/forum/archive/index.php/t-61507.html

http://www.vbulletin.org/forum/archive/index.php/t-25609.html
heeke
#7 - 18 april 2005 19:27
Går det inte att fixa web servern (apache) så att bilder inte får länkas direkt (eller från andra sidor än zoopet)?

Många web-hotell har ju den funktionen för att man inte ska använda dom enbart för lagring (och komma undan reklamen tex)
admin
Christian Alfredsson
#8 - 18 april 2005 19:49
Jodå länkning direkt är lättare. Ska dock läsa igenom erlands tips. Verkar kanon efter första anblicken.
admin
Christian Alfredsson
#9 - 23 april 2005 07:00
Det var inte helt lätt.











Annons


Om oss Kontakta oss Allt innehåll är copyright Imazo AB
Bli affärsmedlem - artbeskrivningar i affär Informationsplikt i affär Dataskydd och GDPR på Zoopet