Подскажите, кто пользуется биржей ссылок Sape и кто анализировал ее РНР код, может ли он в принципе как-то навредить сайту или быть источником уязвимости на сайте? Насколько он опасен?
На счет уязвимости не знаю. Но пока я его использовал, у меня он был источником "ошибок". Точнее он выводил какие-то свои ошибки (хотя дебаг отключен был), а пользователи думали, что ошибки у меня =/ Но после того, как они ввели налоги, я от них ушел
блудный сын Можешь проанализировать, если нет - могу скинуть Теоретически, с помощью SAPE можно влегкую сниферить куки, надо только снифер в код статьи вставить.
У меня он есть и я им пользуюсь. Хотел у вас узнать, анализировали ли вы его на предмет надежности? Там 700 строк кода... Мне, как новичку, тяжело его переварить А почему теоретически?
Потому что чтобы практически сниферить с помощью SAPE, нужно его иметь Потестирую как время появится.
Источником дыр сам код сапы не является, а вот если сапа захочет поиметь все сайты (или кто-то взломает саму сапу захочет) то можно разом все сайты уложить, заразить, от их имени проспамиться, и.т.д...
Да, интересует наихудшее развитие событий и в этом плане... Значит Саповцы, если захотят, могут увидеть РНР исходники моих страниц и через свой код могут завалить или даже стереть весь сайт?
блудный сын Ну это уже паранойя, мне кажется Тогда имеет смысл и счетчиков бояться, вдруг куки попрут, а там у нас столько важной информации... Уважающая себя организация не станет так поступать, так как тогда ее бизнес будет разрушен.
Увидеть исходники не смогут, да и внедрить РНР код тоже сразу не смогут, а вот всё что касается JS только в путь (скрытой отправки паролей к аккаунтам на форумах, админках итд) но никто не будет этим заниматься, как и было сказано если этого бояться тогда Вообще сапа даёт не плохой доход (даже "сайт васи пупкина" который только недавно в интернет сел вполне с сапой может себе на неплохой хостинг заработать, что уж говорить о больших сайтах...) так что не думаю что такая "финансово" успешная организация рискнёт своей постоянной прибылью ради одного флешмоба...
Интересно как это счетчик загружаемый с чужого сайта, может увидеть куки пользователя моего сайта? Это уже лучше А что значит сразу? Т.е. в принципе если постараться - то могут? Но если это возможно (т.е. внедрение своего эксплойта), то возможно, я так понимаю и все остальное... Но с этим можно ведь легко справиться, если заключить его в теги запрещающие исполнение JS?
HTML: <html> <body> <noscript><script type="text/javascript">alert("JS!");</script></noscript> </body> </html> Работает во всех браузерах, кстати.
HTML: <html> <body> <noscript><?php $SAPE->return_links()?></noscript> </body> </html> А так что будет?