mboost-dp1

Att: staff


Gå til bund
Gravatar #301 - D_V
27. apr. 2011 11:08
Daniel-Dane (300) skrev:
D_V (294) skrev:
Fandeme fail fra newz side at dette ikke er rettet, jeg har nu indsendt en nyhed som ligger i køen.
Så må vi se om den bliver bragt af redaktionen, da der nok skal noget opmærksomhed fra medierne til før at tingene bliver rettet.
Jeg har peppet den pisse meget op!


Cool nu blev den jo pisse meget bedre, næsten synd der er ikke via det hul er mulighed for at godkende nyheden. Kunne være pisse lolz...
Gravatar #302 - LinguaIgnota
27. apr. 2011 11:10
Daniel-Dane (300) skrev:
Jeg har peppet den pisse meget op!

Jeg troede lige, jeg skulle ind at hærværke den - men det nænner jeg slet ikke. Godt lavet, din dejlige dreng.
Gravatar #303 - KaW
27. apr. 2011 11:17
Sad og grinede højlydt da jeg så linket til at han ingen kommentarer havde om tog.
Gravatar #304 - Daniel-Dane
27. apr. 2011 11:29
Jeg takker for ros, og nu skulle den vist være færdigrettet.
Gravatar #305 - kasperd
27. apr. 2011 11:32
Bllets (296) skrev:
Overvejet at skrive til ComputerWorld
Nu er de jo altså heller ikke særligt smarte omkring sikkerheden.

Da jeg gjorde dem opmærksom på, at man kunne lave SQL injektion på deres forum svarede de, at det var ligemeget, for de havde nemlig en firewall.
Gravatar #306 - KaW
27. apr. 2011 11:34
Daniel-Dane (304) skrev:
Jeg takker for ros, og nu skulle den vist være færdigrettet.


Jeg har lige rettet bekeder til beskeder. Lidt unfair at den nu giver mig credit for hele artiklen. Men håber du kan leve med at livet ikke er fair.
Gravatar #307 - Daniel-Dane
27. apr. 2011 11:41
Jeg syndes ikke det er fear. There, I took it back!
Gravatar #308 - Bllets
27. apr. 2011 11:54
kasperd (305) skrev:
Nu er de jo altså heller ikke særligt smarte omkring sikkerheden.

Da jeg gjorde dem opmærksom på, at man kunne lave SQL injektion på deres forum svarede de, at det var ligemeget, for de havde nemlig en firewall.



Pointen er jo at gøre opmærksom på problemet ;)
Gravatar #309 - Fjolle
27. apr. 2011 12:17
Meh.

Mente admins at nyheden ikke var interessant?
Gravatar #310 - Magten
27. apr. 2011 12:19
De kunne da i det mindste lige smide en besked om at de arbejder på det. Også selvom de måske ikke gør..
Gravatar #311 - LinguaIgnota
27. apr. 2011 12:23
Let the inmates run the asylum.
Hvis vi bliver ved med at indsende nyheden, så bliver de vel trætte af at slette den på et tidspunkt, no?

Helle for at være ham med skægget.
Gravatar #312 - KaW
27. apr. 2011 12:30
Da adminsne desværre ser ud til at have slettet nyheden ved en fejl, har jeg været så flink at oprette den igen.
Gravatar #313 - tazimn
27. apr. 2011 12:44
Jeg postede den også, bare for at være på den sikre side..
Gravatar #314 - tazimn
27. apr. 2011 12:48
Her er forresten teksten, hvis de skulle slette alle 3 nyheder..

Den er klar til at kopiere og sætte ind, uden at tænke på links og what not..
Gravatar #315 - johnny_newz
27. apr. 2011 12:52
Vi har naturligvis noteret jeres indlæg, og vi får kigget på det hurtigst muligt. Kom gerne med flest mulige screendumps/forklaringer her, så vi selv kan fremprovokere fejlen og få det rettet.
Gravatar #316 - D_V
27. apr. 2011 12:53
Net_Srak skrev:
Slet nyhed: Quick newz
Hej D_V

Vi er godt klar over problematikken.

Mvh

newz.dk

newz.dk's nye brugersystem er fyldt med huller


Så kom der sgu et svar :-D
Gravatar #317 - tazimn
27. apr. 2011 12:54
Og så kom jeg ind på D_V´s indbakke/profil..
Gravatar #318 - D_V
27. apr. 2011 12:55
tazimn (317) skrev:
Og så kom jeg ind på D_V´s indbakke/profil..


Fedt :-D.. Så det sgu godt jeg rydtede alt det spændende da der først blev gjort opmærksom på det her problem...

EDIT: Så fik du vel også lige læst pm'en fra net_srak
Gravatar #319 - Bllets
27. apr. 2011 12:58
johnny_newz (315) skrev:
Vi har naturligvis noteret jeres indlæg, og vi får kigget på det hurtigst muligt. Kom gerne med flest mulige screendumps/forklaringer her, så vi selv kan fremprovokere fejlen og få det rettet.


1. Bliv her i tråden.

2. Tryk ctrl+F5

3. Tryk Ret

4. Se om det er en anden bruger, ellers start fra 2. af igen.

Sådan gjorde jeg, og jeg har lige haft muligheden for at (mis)bruge Magtens profil.
Gravatar #320 - tazimn
27. apr. 2011 12:59
Hver gang en bruger har været eller er inde på sin indbakke er det muligt for alle andre at se dennes profil/indbakke ved at trykke på "ret" eller "indbakke"..

Det er også beskrevet i nyheden..
Gravatar #321 - D_V
27. apr. 2011 13:01
tazimn (320) skrev:
Det er også beskrevet i nyheden..


Den havde ikke nyhedsværdi nok til at blive bragt...
Gravatar #322 - el_barto
27. apr. 2011 13:01
/me thinks newz.dk staff har skrevet koden til mit ur hjemme på komfuret. Når klokken er midnat (0:00) viser det 24:00 det følgende minut. Måske kan det også forklares med en aktiv session der bliver hijacket. Eller noget.
Gravatar #323 - tazimn
27. apr. 2011 13:01
Det virker som en variabel der ligger i application i stedet for session.. Medmindre i kopiere session objektet til application.. Men det ville jo være helt i skoven..
Gravatar #324 - Bllets
27. apr. 2011 13:03
Min profil vil gerne være i fred!

Aber!

._.
Gravatar #325 - LinguaIgnota
27. apr. 2011 13:07
Bllets (324) skrev:
Min profil vil gerne være i fred!

Aber!

._.


Nej, du hedder Billets, blev der sagt!
Gravatar #326 - D_V
27. apr. 2011 13:14
Så blev alle nyhederne i kø slettet igen... Måske man skulle kontakte cliche så de kunne få mulighed for noget payback..
Gravatar #327 - LinguaIgnota
27. apr. 2011 13:16
Net_Srak skrev:

Slet nyhed: Anden indsendelse bringes

Hej L̀͟į̛ng͟ua͜I͟g̢̕ń͞o͘͘͞ta̴̢

Som det også nævnes i tråden for emnet er vi godt klar over problematikken, de tekniske detaljer er jeg dog ikke inde i, da jeg ikke er koder.

Mvh

newz.dk

Sikkerhedshuller i newz.dk's nye brugersystem


Jeg ved ikke, om det betyder, at den så bliver bragt eller hvordan. Men nu har vi i hvertfald fået opmærksomhed omkring problemet - og det var mit mål med tråden; så great success!
Gravatar #328 - Mnc
27. apr. 2011 13:19
L̀͟į̛ng͟ua͜I͟g̢̕ń͞o͘͘͞ta̴̢ (327) skrev:
Men nu har vi i hvertfald fået opmærksomhed omkring problemet - og det var mit mål med tråden; så great success!

Det tog så også kun knap 6 uger. :)
Gravatar #329 - LinguaIgnota
27. apr. 2011 13:24
Mnc_ (328) skrev:
Det tog så også kun knap 6 uger. :)


Yeah, og der kunne vel snildt være gået 6 uger til. Men eftermiddagens clusterfuck er svært at ignorere...
Gravatar #330 - Mnc
27. apr. 2011 13:26
Det var vel også mest fordi at der kom gang i tråden og at flere forsøgte samtidigt, at der rigtig kom gang i fejlene. :P
Gravatar #331 - Ronson ⅍
27. apr. 2011 16:38
Der er aldrig nogen der har skrevet at vi ikke skal lave flere nyheder om det.
Gravatar #332 - johnny_newz
27. apr. 2011 17:33
Der er nu kørt en del fejlsøgninger og ændret på nogle ting. Problemet er lidt, at vi ikke kan genskabe det og rent faktisk se hvad der går galt.

Men som sagt er der ændret på nogle ting nu, så kan I ikke melde tilbage om der stadig er et problem? Tak.
Gravatar #333 - Daniel-Dane
27. apr. 2011 17:38
Så skal vi lige planlægge en DDoS/F5-raid.

I må også meget gerne offentliggøre source for https://login.newz.dk/profile og /message. (:
Gravatar #334 - tazimn
27. apr. 2011 17:40
Jeg er herinde nu og frem til 19:50..

Jeg trykker ivrigt F5 og ser om der er hul igennem..
Gravatar #335 - D_V
27. apr. 2011 17:41
#334

Leger lige med et par minutter
Gravatar #336 - Daniel-Dane
27. apr. 2011 17:41
Rolling.
Gravatar #337 - D_V
27. apr. 2011 17:43
johnny_newz (332) skrev:
Der er nu kørt en del fejlsøgninger og ændret på nogle ting. Problemet er lidt, at vi ikke kan genskabe det og rent faktisk se hvad der går galt.

Men som sagt er der ændret på nogle ting nu, så kan I ikke melde tilbage om der stadig er et problem? Tak.


Umiddelbart ligner det lidt noget caching eller lign af variabler, som ikke er threadsafe.
Fejlen minder om da jeg på den dårlige måde fandt ud af at imagick pluginet til php ikke er threadsafe... Gav sgu nogen sjove resultater
Gravatar #338 - tazimn
27. apr. 2011 17:46
Jeg kan ikke længere replikkere problemet..
Gravatar #339 - D_V
27. apr. 2011 17:47
Me neither
Gravatar #340 - Daniel-Dane
27. apr. 2011 17:50
:C
Gravatar #341 - Fjolle
27. apr. 2011 17:50
Heller ikke mig.
Gravatar #342 - vandfarve
27. apr. 2011 18:33
Pfff...

Dodged that bullet.
Gravatar #343 - Bllets
27. apr. 2011 18:49
vandfarve (342) skrev:
Pfff...

Dodged that bullet.


Du er da ved at blive gammel og kedelig, var? :)
Gravatar #344 - vandfarve
27. apr. 2011 18:52
Voksen og ansvarlig, tak. ;)

Det har været en lang dag på arbejdet, mens jeg lige har sat mig ned for at arbejde et par timer på den ene af to opgaver til studiet.

Shit, life's tough, hennyboy.
Gravatar #345 - TheAvatar
27. apr. 2011 20:42
Skræmmende reaktionstid.
Det er sgu ikke godt nok. Fejl kan ske, og det gør de.
Men at det tager 6 uger for at få respons, det er simpelthen ALT ALT for ringe.

Øv øv og rigtig sur smiley til jer Newz!

Nogen udmelding om hvad der så gik galt?
Gravatar #346 - Daniel-Dane
27. apr. 2011 20:50
Det tog få timer at få respons og handling. Det kræver bare, at man skriver og indsender en nyhed ti gange.
Gravatar #347 - TheAvatar
27. apr. 2011 20:50
Daniel-Dane (346) skrev:
Det tog få timer at få respons og handling. Det kræver bare, at man skriver og indsender en nyhed ti gange.


Tja, det er nok afhængig af hvordan man ser på det :)
Gravatar #348 - stekkurms
1. maj 2011 16:34
Jeg undrer mig over dem, der har fået deres brugernavn ændret. Hvordan bar de sig ad med at logge ind, hvis ikke de viste hvad deres brugernavn var? Og var der nogen der fik deres password ændret?
Gravatar #349 - Dr_Mo
1. maj 2011 16:58
#348
Dit brugernavn står over samtlige indlæg du har lavet. Så det burde være rimelig ligetil at finde.
Gravatar #350 - Alrekr
1. maj 2011 17:00
Det var noget slamkode (tør jeg godt sige) som gjorde, at man kunne hijacke andres sessions. På den måde fik jeg sendt en PM fra Steve Jobs til mig selv og ændret Lingus navn til Onkel Danny/Lingualnota. Det var meget nemt egentlig; klikkede bare på Indstillinger indtil jeg fik en andens indstillinger end mine egne..
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login