Remélem ez a palesztin gyerek talál más hibát is, de azt már nem nekik foglya közölni, hanem pár rossz indulatú embernek és Zuckerber ellen irányítják a támadást. Aljas kis sunyi dög.
Nem értem azért teljesen, hogy hogyan kerülhetnek elõ a mai napig ilyen hibák.
Ezekbõl a hírekbõl mindig az jön le nekem, hogy szimplán backend oldali jogosultságellenõrzések hiánya okozza ezeket a biztonsági réseket. Ami csak azért gáz, mert én "szar kis senkiként" minden adatmódosítást végzõ vagy kényesebb adatokat lekérõ scriptet azzal kezdek.
Persze magában a jogosultságellenõrzésben is elõfordulhatnak hibák, de érdekes módon ha nálam befigyelt ilyen, abból mindig az lett, hogy "hozzáférés megtagadva", nem pedig fordítva. Nagyrészt megközelítés kérdése ez (persze egy kevés szerencse sem zárható ki), tiltani kell mindent elõször, aztán az engedélyezést meg olyan feltélekhez kell kötni, amik ellenállóak a típuskonverziókból fakadó esetleges félreértéseknek (PHP-ban pl. a string - nem string összehasonlítások szeretnek néha nem várt igaz-hamis értékeket visszaadni). Meg aztán eleve egy ekkora cégnél simán kell, hogy legyen megfelelõ infrastruktúra és munkaerõ az ilyen kritikus részeket valami szigorúbb, típusbiztos nyelven megírni. Legtöbbször azoknál már az IDE leordítja a programozó fejét gépelés közben, ha ilyen hibára hajlamos dolgokkal próbálkozna :)
Mondjuk ismerve Zuckerberg mentalitását azért azt el tudom képzelni, hogy a cég ha már egyetlen fillért meg tud valamin spórolni, akkor azt meg fogja, csak azt felejtik el mindig, hogy az ilyen és egyéb esetek miatt a megítélésüket ez már a föld alá vitte egy jó ideje. Bár úgy látom ez sem nagyon szokta õket zavarni.
Informatika és tudomány
