Dzisiejszą nagrodę zdobywają autorzy najgorzej napisanego systemu hostingowego. Tylko prawdziwy geniusz mógł coś takiego wymyślić. Każda strona VHCS jest zabezpieczona
wywołaniem specjalnej funkcji. Kod poniżej:
function check_login () {
if (isset($_SESSION['user_logged'])) {
if (!check_user_login($_SESSION['user_logged'],
$_SESSION['user_type'],
$_SESSION['user_id'])) {
header("Location: ../index.php");
}
} else {
header("Location: ../index.php");
}
}Oto, moi drodzy, nowy sposób zabezpieczania systemów. Jeśli użytkownik nie jest zalogowany, to wysyłamy mu nagłówek przekierowania do strony logowania, po czym… Po czym nie przerywamy wykonania skryptu przez die(); albo exit();, tylko pozwalamy mu się normalnie wykonać.
Tym panom już podziękujemy, serwisy przywrócone z backupów, z VHCS się chyba pożegnamy — bezpieczeństwo mają wyraźnie w dużym poważaniu i nie czują się zobowiązani do publikowania informacji o krytycznych błędach (a kolejne poprawki udostępniają przez nadpisanie pliku z poprzednim patchem, bez informacji o zmianach).
Technorati Tags: vhcs, security, hosting, wtf, code, software