Anti-XSS

    Woher solln ich das wissen ?!? Bitte nich gleich so überreagieren, bin auch nurn Mensch. Dann Frag ich mich aber mal, was applets genau bringen, wenn man nichaml fehlerweldungen anzeigen kann... Naja, bleiben wir bei JS xD

    Der, der weiß dass er nichts weiß, weiß mehr als der, der nicht weiß, dass er nichts weiß.

    Wer nach etwas fragt, geht grundsätzlich das Risiko ein, es auch zu bekommen!

    is doch nich überreagiert tobse...
    war nur etwas energischer sachverhalte zu erklären...
    und man kann fehlermeldungen zeigen.. aber das geht nur via applet und nich via swing selber

    Zitat von The User

    Ich finde das ne nette Sache, wenn es erst nach dem Schließen der Seite zum Suicide kommt, das ist so unerwartet.

    Der soll ja wissen, dass er mich nicht hacken darf ;)

    Something big is coming. And there will be pirates and ninjas and unicorns...

    Dann kann mann ja vorher so ne meldung zeigen, kein alert sondern mit nem verstekten div.

    Der, der weiß dass er nichts weiß, weiß mehr als der, der nicht weiß, dass er nichts weiß.

    Wer nach etwas fragt, geht grundsätzlich das Risiko ein, es auch zu bekommen!

    Zitat von The User

    Dodo
    Ich finde die Idee des Unerwarteten, der Angst und Spannung so schön. Man kann ja am Ende noch ein Alert machen, das auf den Urheber hinweist.

    Ich denke nicht, dass ein Hacker Angst vor einem Browsercrash hat ;)
    Der fände das eher lächerlich, weil er vorher das JS abdreht, bevor das passiert ;)

    Something big is coming. And there will be pirates and ninjas and unicorns...

    Was bringt es überhaupt? Man selbst bekommt ja eh nicht mit ob und wie sich diejenige Person ärgert. Danach einmal den Browser neu starten und es geht in einem anderen Gästebuch weiter.
    Wäre es auszuschliessen dass auch mal Unwissende in eure Falle geraten? Nach sowas würd ich die Seite nie wieder besuchen, es sei denn sie ist in dieser Form einzigartig.

    also wenn das auf mehreren seiten ist, dann ist das vielleicht eine gegenbewegung zu hackern ;)
    aber ich denke nicht, dass ein "normaler" Benutzer den text "<script>" oder "<script type="text/javascript">" schreibt.

    Something big is coming. And there will be pirates and ninjas and unicorns...

    In nem anderen forum hat mal (wieder) einer java mit js vertauscht und in meim post drunter stand dann

    Zitat

    JAVA IST NICHT JAVA!

    solche dinge sollte man natürlich vermeiden.

    Der, der weiß dass er nichts weiß, weiß mehr als der, der nicht weiß, dass er nichts weiß.

    Wer nach etwas fragt, geht grundsätzlich das Risiko ein, es auch zu bekommen!

    Wie ich sehe hat Dodo gerade eine XSS-Attacke versucht, oder welcher normale Benutzer schreibt den Text '<script type="tex/javascript">'. :D

    Also ich hab mir das noch nicht so überlegt, will nur ein wenig herumspinnen, wie man den bösen Typen ärgern kann.

    Glückwunsch zu 2300 Beiträgen übrigens.

    also wie gehabt die letzte suicide-funktion die ich schrieb war ganz easy und sie war nur n bissi nervig...

    http://badadmin.hopto.org/bla/ klickt da einfach mal oben rechts auf den mittleren "Hyperlink"

    und wenn ihr die page mal nich sehen könnt.. wartet einfach bis ich wieder online bin :D

    also ich find sowas in der art sollte schon ausreichen, denn wie ole schrieb is der browser einmal zu wird er neu geöffnet und es geht zum nächsten GB

    aber lustig is das ganze schon...
    man könnte natürlich vorher die ip loggen wenn so´n script ausgelöst wird...
    oder nem hacker ne spezielle page anbieten :) wo man einfach nur hasstiraden ablässt oder sich lieb äußert wie klein die hacker-eier doch sind...

    Ja klar, er geht weiter
    Aber wenn ihn dann beim nöchsten Gästebuch wieder diese Funktion erwartet und dann wieder? Villeicht könnte man damit sogar was bewirken *träum*

    Something big is coming. And there will be pirates and ninjas and unicorns...

    ja da müsste man sich echt mal nen kopf drum machen... :)
    aber das problem ist das verbreiten einer solchen sache... da muss man ja den code offenbaren da man des ja publizieren muss..und dann wissen die hax0r ja schon was kommen kann und können sich ggf wappnen..
    aber da is auch wieder eher der ruf nach was wirklich hübschen...

    und defakto kann man nich sehen wie sich die person ärgert oder kaputtlacht..
    bei meinem suicide-script hab ich grad ma gecheckt.. das ding legt bis hin zum laggen sogar fast meine kiste lahm... ich hab knapp 6Ghz auf 2 cores, 64bit win7 enterprise und 4GB ram...
    hatte vom ram nur 60% auslastung bis ich abgebrochen hab, weil nichts mehr sonst wirklich flüssig ging... beide kerne waren bei über 75% last und 50 mal die spezielle seite aufrufen war wirklich übel... zumal ich das ja so hab dass ich neue tabs statt neue fenster bekomm.. bei neuen fenstern sieht des anders aus :D:D:D

    Aber das verbreiten eines solchen scripts ist mal eine grundlegende Welle gegen XSS. Und damit fehlt Hackern schon mal ein wichtiger Angriffspunkt. Dann müsste man sowas noch für SQL-Injections, etc, machen ;D

    Something big is coming. And there will be pirates and ninjas and unicorns...

    Ich als Whitehat fände sowas, gelinde gesagt, eher störend, wenn ich eine Seite teste (mach ich manchmal bei Seiten, die ich benutze, vor allem bei welchen, die schon unprofessionell aussehen.)

    Information will frei verfügbar sein.

    Don't eat unpeeled hedgehogs.

    Zitat von Afrael

    Ich als Whitehat fände sowas, gelinde gesagt, eher störend, wenn ich eine Seite teste (mach ich manchmal bei Seiten, die ich benutze, vor allem bei welchen, die schon unprofessionell aussehen.)

    Ja das mag sein, aber ein Whitehead-Hacker meldet sich vorher normalerweise an. Und wenn er das nicht tut, dann ist das für mich ein Hacker, der bestraft gehört. ;)

    Something big is coming. And there will be pirates and ninjas and unicorns...

    Zitat von Dodo

    Ja das mag sein, aber ein Whitehead-Hacker meldet sich vorher normalerweise an.


    Ist dem so? Meinst du jetzt, dass er sich auf der Seite einen Account erstellt? Ich finde es bequemer, zuerst keinen Account zu erstellen, weil man als angemeldeter User manche Sachen nicht mehr kann.

    Oder meinst du, dass er sich vorher als Whitehat ankündigt? Hab ich nie gemacht, hat sich bei mir noch nie jemand beschwert.

    Information will frei verfügbar sein.

    Don't eat unpeeled hedgehogs.

    naja ich finde das gebührt allein die ehre und die vernunft.
    man kündigt an was man tun will, damit der website-betreiber weiß was los ist.
    andernfalls biste nichts anderes als ein hacker...

    ich brech ja auch nich nen auto auf, klau die wertsachen da raus und bring se dann zum halter und sag: guck ma ich hab dir das hier klauen können, wenn ich das kann kann es jeder...