<!–texy–>Uz je to vyreseno v nove verzi:

http://www.minibb.net/forums/9_4661_0.html

<!–texy–>Ten útok není XSS, ale “XSRF (Cross-site request forgery)”:http://en.wikipedia.org/wiki/Cross_site_request_forgery

<!–texy–>[14] Samozřejmě stačilo, jenže vývojáři to nějak nechtějí pochopit a hledají špatné řešení.

<!–texy–>A nestacilo by prepsat u toho DELETE skriptu GLOBALS na $_POST ??

<!–texy–>Pozor pozor! Dnes “vyšla nová verze miniBB”:[http://www.minibb.net/forums/9_4651_0.html] s opraveným XSS bugem. Nicméně řešení není zdaleka ideální, jediný bugfix, který tým vývojářů udělal bylo, že vyloučil znak & pro URL obrázků. Hezké, že? Pokud tedy do nového miniBB budete chtít vložit nějaký obrázek generovaný skriptem, nebo třeba přesměrovaný z jiné URL obsahující ampersand &, tak máte smůlu, neprojde to. Vývojáře jsem samozřejmě upozornil na to, že to není ani zdaleka vhodné řešení, tak uvidíme, co s tím budou dělat dál.

<!–texy–>[11] V pohodě. Já taky… :)

<!–texy–>[10] Promiň jestli to vyznělo jako rejpnutí, o tom pětiminutovém bug reportu to bylo čisté konstatování :) Co se týče rychlosti informování tak je to sice fajn, ale plus mínus pár týdnů nehraje roli, je zbytečné se zde prát o každou vteřinu. Nicméně jsem zvědavý, jak se problém vyvine.

<!–texy–>[6] Jasně, že napsat na bug-report je otázka 5-ti minut, ale když jsem tento článek četl, a reagoval na něj, bylo už k půlnoci, a tou dobou se moje jazykové schopnosti (jak v rodném jazyce, tak v jazycích cizích) dost limitně blíží nule.

Ale každopádně Ti patří dík, protože je to hodně závažný problém, je určitě záslužné o něm vývojáře informovat. :)

<!–texy–>[8] Tohle není bug, tohle je katastrofa :) Snad se nic nezneužije a při troše štěstí problém do pár dnů opraví.

<!–texy–>[6] Opravdu? Tak to je mi potom divné, že tuto chybu již dávno někdo neopravil, IMHO je hodně závažná.

[7] Teď už bude jen zajímavé sledovat, jak se tato chyba začne zneužívat. Naštěstí nejznámější diskusní fórum, provozované na miniBB u nás, je už imunní.