October 11th, 2006

Main

Security once Again

Все те же наши друзья XSS и CDRF. При наличии XSS на сайте традиционные меры против CD(S)RF могут и не помочь, потому, что при поселившись на общем с жертвой домене, злоумышленник может имитировать поведение браузера пользователся.

Хорошая статья Using CSRF for Browser Hijacking

Хорошая подборка по способам протестировать себя на наличие XSS:
http://ha.ckers.org/xss.html

Хорошая цитата: Buy one XSS, get a CSRF for free.
Main

Машинный переводчик на марше

http://www.mikelsv.ru/doc/php4/

Пройдя по этой ссылке, я думал, что нашел вариант русского перевода хелпа по php4. Оказалось машинный переводчик поработал:

Переменная $var в foo будет связана с $bar в вызывателе, но затем она будет перепривязана к $GLOBALS["baz"]. Нет способа связать $bar в области видимости вызывателя с чем-либо ещё путём использования механизма ссылок, поскольку $bar это не переменная в функции foo (она представлена $var, но $var имеет только содержимое переменной, а не связку name-to-value в вызывающей таблице символов).

брлмбрлм млбррррр... :)

А какие раньше помнится бывали гуртовщики мышей, закачаешься.