Ik wou de mensen van FlashFocus er even op attent maken dat het toelaten van Flash footers verstrekkende gevolgen kan hebben, zoals onlangs op KirupaForum waar ik moderator ben.

Iemand had via een flash footer een PHP script uitgevoerd, dat de cookie van een van onze moderators stal. Daarmee kon hij inloggen, en was bezig met 15000 posts van het forum aan het vernietigen. Gelukkig dat wij dagelijks backups nemen, zodat we de meeste schade hebben kunnen herstellen, maar ik vond dat ik dit toch even zou vermelden om dezelfde situaties hier te vermijden.

Dit kan gedeeltelijk opgelost worden door het allowScriptAccess attribuut in de code van de flash footers. Lees hierover meer op http://www.macromedia.com/cfusion/knowledgebase/index.cfm?id=tn_16494

Beste Voetsjoeba,

ten eerste veel dank voor het aankaarten.

De parameter allowscriptaccess is toegevoegd (http://www.flashfocus.nl/forum/getFlash.php?swfURL=http://www.xs4all.nl/~komen01/chaoz/footer.swf&width=225&height=40) (~never) waardoor het acute probleem nu vermeden moet zijn.

Daarnaast draaien de signatures in iFrames, waardoor het mogelijk (~ te forceren) is dat de getFlash.php, die de signatures uitleest, op een ander domein draait dan het forum zelf. Dat systeem werd ook op FlashFocus gebruikt en wordt ook hier in de loop van de dag geimplementeerd.

Meer tips en ideeën blijven uiteraard welkom.

greetz,
Barend

Gelukkig dat wij dagelijks backups nemen, zodat we de meeste schade hebben kunnen herstellen, maar ik vond dat ik dit toch even zou vermelden om dezelfde situaties hier te vermijden.

heb er niks van gemerkt op kirupa dus goed gedaan :D

Ik vraag mij dan altijd af wie zich met zoiets bezig houdt :confused:

Ik vraag mij dan altijd af wie zich met zoiets bezig houdt :confused:
'k Denk dat dat automatisch gebeurt... anders: :eek: