cwbe coordinatez:
101
63535
21
8337344
8337345
8337352
8337530
8337556
8337650
8337657
8337760

ABSOLUT
KYBERIA
permissions
you: r,
system: public
net: yes

neurons

stats|by_visit|by_K
source
tiamat
K|my_K|given_K
last
commanders
polls

total descendants::2
total children::1
show[ 2 | 3] flat
Ako pise knihovnik, da sa to urobit (a v dnesnej dobe to uz ani nie je tak vela prace),
ale ten bezpecnostny model je od zaciatku zly, aj tak musis verit serveru.

Na druhu stranu, utocnik by musel byt schopny upravovat php kod, co je trocha vacsia bariera nez nejaka blbla sql injection, ako je to dnes. A ziskal by pristup iba k aktivnym uzivatelom, co sa pripojili k poste kym bol upraveny postovy skript. Takze prakticky harm reduction by mohol byt dost velky.

Este jedna neprijmna vlastnost je ta, ze by si na fungovanie kyberie (resp. posty) potreboval javascript, co otvara dalsiu pandorinu skrinku bezpecnostnych problemov.




000001010006353500000021083373440833734508337352083375300833755608337650083376570833776008337766
repelent
 repelent      03.05.2017 - 17:11:34 , level: 1, UP   NEW
> utocnik by musel byt schopny upravovat php kod

Tomu nerozumiem uplne preco by musel? Kyberia dovoluje uzivatelom vkladat vlastny javascript cez ui. Sice na to treba prava a tak, ale to je asi stale dosiahnutelnejsie ako menit subory na serveri.



Ale hej, ako jedine realizovatelne riesenie v ramci kyberie vidim text s varovanim, ze posta nie je sirfrovana :)

00000101000635350000002108337344083373450833735208337530083375560833765008337657083377600833776608337779
niekt0
 niekt0      03.05.2017 - 17:29:56 , level: 2, UP   NEW
Mas pravdu, stacilo by aj xssko, alebo tie nestatne templaty. Ale stale je tam dost rozdiel medzi ziakanim vsetkej posty a ziskanim posty aktivnych uzivatelov.