Domanda su GDRCD Avatar Flash postato il 08/10/2009 00:12:32 nel forum programmazione, gdrcd, open source, hosting e modificato da ghennadi72 il 08/10/2009 00:16:32
Domandina sull'ultimo pacchetto inserito nella sezione di GDRCD... ossia la possibilità di inserire file .swf nella scheda avatar.
Non é un po' rischioso?
Non conosco a fondo ActionScript e quale tipo di operazioni consenta sulla pagina da cui é richiamata l'animazione ma... aldilà delle operazioni *sulla* pagina da cui é richiamata, l'animazione può davvero contenere di tutto, rimandare a link esterni, richiamare a sua volta altre applicazioni flash.
E se non ricordo male può accedere direttamente agli eventuali frame richiamandoli direttamente tramite ID, controllandone quindi i contenuti.
Chiaro che il danno potenziale peggiore, mi sembra a carico dell'utente finale, quello che va a vedersi la scheda avatar, più che per i gestori..
Ma con tutto quello che sta scritto qui in materia, non é un po' una follia aprire le porte della propria land a tutto ciò solo per avere un avatar animato e con eventuale sfondo audio diverso dal "solito" midi?
Pagine → 1 2
08/10/2009 00:59:16
Decisamente, anzi a tal proposito linko un articolo di punto informatico.
http://punto-informatico.it/2162171/PI/News/flash-upnp-accoppiata-cracca-router.aspx
08/10/2009 01:14:08 e modificato da ghennadi72 il 08/10/2009 01:21:10
Appena letto. Mi sorge una domanda spontanea.. viene effettuato qualche tipo di controllo sulle "espansioni" (a GDRCD piuttosto che a qualunque altro OS) prima che venga reso disponibile per il download?
No, perchè penso ai molti aspiranti gestori di land (soprattutto quelli che installano un gdrcd su altervista e dopo vengono a chiedere che differenza c'é tra GET e POST) attratti dall'idea di avere le fichissime animazioni flash negli avatar perchè "attirano l'utenza".
E ai potenziali danni (fossero anche solo "fastidi" di entità molto più risibile rispetto allo scenario gravissimo prospettato nell'articolo che hai linkato) per i malcapitati che finissero sulle loro land.
Dico, mi pare un po' contraddittorio trovare nella stessa categoria di download una serie di fix per chiudere le falle di GDRCD e trovarci poi un pacchetto che ne apre di nuove... :)
Non so, io almeno un "alert" nella pagina di download, sui rischi che si corrono a consentire l'inserimento di animazioni flash come avatar, ce lo metterei... qualcosa tipo "Se metti la nitrogliecerina nel serbatoio dello scooter rischi di esplodere".
Poi se uno proprio vuole scoattare con lo scooter alla nitroglicerina pensando di rimorchiare più facilmente, cavoli suoi, ma almeno lo sa... ;)
08/10/2009 01:26:19
No, nessun controllo.
Se scarico una patch nessuno mi assicura che essa sia sicura, funzioni bene o tenga conto di uno scenario generico di database (di modo da non essere incompatibile o addirittura essa stessa, fonte di incompatibilità).
Riguardo l'autore della patch, quella precedente per il MixPod, sempre sviluppata da lui, soffre di vulnerabilità in quanto non filtra i dati che dal client vengono passati al server.
Le patch per gdrcd sono, nella maggior parte dei casi, di uno sviluppo molto scialbo e assurdo che a volte sono le patch stesse a mettere a rischio la sicurezza, già molto labile, dell'os.
08/10/2009 01:40:33
Mh... non so se sia la sede adatta in cui parlarne ma... mi chiedo se non si dovrebbe fare qualcosa in proposito, almeno in casi tanto evidenti.
Questo sito (e il forum in particolare) offre moltissimo agli aspiranti gestori. Magari in alcuni casi li convince anche che é meglio lasciar perdere e documentarsi un po' prima di mettercisi.
Fondamentalmente l'aspirante gestore arriva, scarica un pacchetto, poi se non é pigro scarica anche le patch e le espansioni (perchè ormai da secoli é mentalmente abituato al concetto di "release" e si affida alla collaudata procedura istallzazione -> aggiornamenti -> patch) perchè non ha voglia/tempo di scrivere da zero un sistema gestionale di gioco, e decide di fidarsi di quello che trova qui.
Non nascondiamoci che tanti aprono una land perchè il gestore della tal "grande community" l'ha esiliato o perchè il master di gilda ha promosso Tizia solo perchè ha le tette e lui no.. allora cosa fa? Apre una sua land, senza avere la minima idea di quello a cui va incontro e soprattutto di quello che gli serve per installarla, mantenerla e gestirla.
Mi sembra un po' brutale (anche se divertente sotto certi aspetti) l'idea di stimolare gli aspiranti "programmatori" a documentarsi facendogli prendere capocciate contro il marciapiede... soprattutto perchè in questo caso non é l'ingenuo gestore ad andarci di mezzo, ma sono terze parti inconsapevoli, che magari entrano a giocare per vedere com'é stata realizzata la land e vanno incontro nel migliore dei casi a una montagna di spam, popup e redirect non richiesti, e nella peggiore delle ipotesi a una reimpostazione coatta del router di casa come spiegato nell'articolo.
Insomma, in certi casi non si potrebbero semplicemente rimuovere (ovviamente con le gentili spiegazioni di rito all'autore) le "espansioni" manifestamente disastrose?
08/10/2009 01:58:10 e modificato da blancks il 08/10/2009 01:59:17
08/10/2009 06:41:54
Probabilmente basterebbe mettere la possibilità di commentare i download (magari con le classiche stelline da 0 a 5), in modo che chi arriva per scaricare la patch possa vedere preventivamente il giudizio di chi è passato prima di lui.
08/10/2009 10:08:31
vedo che quell'articolo di punto informatico è datato giovedì 17 gennaio 2008
Visto che l'articolo è vecchio di circa un anno e mezzo esiste qualche fonte più aggornata riguardo al problema, perchè ammetto che cercando con google ho trovato solo articoli di quel periodo
08/10/2009 10:45:49
Lo so dyrr, di fatti non ho trovato neanch'io un articolo più recente al proposito, per cui ho preso quello derivante dalla fonte più affidabile che ho trovato.
08/10/2009 11:01:01
08/10/2009 11:45:16 e modificato da blancks il 08/10/2009 11:46:14
Prendendo come assunto fondamentale che il MixPod è sicuro come sito e non fornisce file .swf maligni, la patch è ancora ancora sicura.
Il problema di qualla patch sono i dati passati in maniera non filtrata, gli input non sono filtrati e anche se non si riesce ad eseguire una Injection, è abbastanza per un XSS.
Edit: si dyrr, avevo inteso anche a me sarebbe piaciuto trovare una fonte più aggiornata ma non ne ho trovate neanche in inglese (almenochè non so più come cercare su google b.b).
Discussione seguita da
Pagine → 1 2
Rispondi alla Discussione Aggiungi ai Preferiti Inoltra Discussione Forum Programmazione, GDRCD, Open Source, Hosting Elenco Forum
World of Warship: Aggiornamento 13.11: anteprima
gdr-online.com ha risposto alla discussione: Parere su BrowserGame
Entropia Universe → Lascia che il tuo avatar esplori nuovi mondi e viaggi tra i pianeti in questo stupendo MmoRpg Sci-Fi Free to Play!
W40K Dathyar: Specializzazioni
NosTale: Ora nel NosMall: dolcissimi mini-pet
DarkOrbit: Aggiorna la scatola dell'Apocalisse!
I dati del generatore di rank sono stati aggiornati!
DarkOrbit → Galassie remote e pericoli in agguato ti attendono. Vinci battaglie avvincenti in DarkOrbit: diventa un cosmonauta temerario e combatti!
aik ha aperto una nuova discussione: Parere su BrowserGame
eXtremelot: La Bussola dei Cartografi di Lot
Dallas Black Gold: [Trama] JFK Memorial
Hero Wars: Artefatti dei Titani!
Pirates of the Caribbean → Parti per un'avventura con Jack Sparrow, Will Turner, il Capitano Barbossa e altri spadaccini del franchise cinematografico Pirati dei Caraibi!
bother ha recensito Never Have I Ever: Mysteries of Laconia Bay
Games of Thrones Winter is Coming: #giveaways codice regalo! 🥳
Enlisted: Migliorare e ottimizzare le ombre
Road to Hamartia: CACCIA: Sarà uno o tre?
Exclusive Villa GdR → Las Vegas, azzardo, vizi, soldi, intrighi... Più le sue luci sono scintillanti, più le sue ombre sono oscure. La città che non dorme mai, vi aspetta.
Gdr e Narrazione - Come il Narratore/Master sceglie di impostare il proprio gioco di ruolo..
AI e GdR testuali - L'Intelligenza Artificiale e Giochi di Ruolo Play by Chat (PBC) fra innovazione e opportunità
Giochi Antica Roma - Lista completa dei giochi di ruolo online ambientati nell'antica Roma
Crea il tuo GDR - Scopri come creare da zero un gdr in PHP! Partiamo dalla registrazione..
Sangue di Midgard - Intervista ai gestori del cruento fantasy storico Sangue di Midgard
Sea of Conquest - Vivi un'avventura tra i mari! Dal cuore del Mare del Diavolo, un paradiso piratesco brulicante di magia, tesori e avventure, salperai verso l'ignoto!
.jpg)
Crossout ↗
World of Warship ↗
Hero Wars ↗
.png){kind=avatar}
