Michal Zalewski wrote:

>> A jak podam linka typu http://hack.pl/000/ to przy odrobinie pecha
>> 'przełamuję zabezpieczenia portalu hack.pl' (czy tam inny współudział)?
>> No ja Cię proszę...
> A jak podasz linka typu:
> https://hack.pl/_admin/login.php?user=admin&pass=adm
in
> ...a jak admin123? a jak AdmiN321? A jak sprawdzisz 100 innych kombinacji?
> A jak uzyjesz POST i onLoad=form.submit()?

Tylko, że tego nie robili... Żadnego przekazywania parametrów.

> Rzecz w tym, ze zaden z tych przypadkow nie jest jasny, i ciezko nakreslic
> jakakolwiek czysto techniczna granice, gdzie konczy sie "niewinny link" i
> zaczyna "proba wlamania".

Nie no, to oczywiste. Taki fach.

> To, co w tej sytuacji gra role i czym zapewne kierowalby sie sad, to
> kwestia zamiaru - rozroznienia miedzy przypadkiem albo zwykla ludzka
> ciekawoscia, a usilna i zdeterminowana proba przelamania zabezpieczen.

Proszę, nie mówmy o zabezpieczeniach w tym przypadku. To jest poziom rot13.

> I w tym wlasnie sensie hack.pl skladajac swoja propozycje nie do
> odrzucenia strzelil sobie w stope.

Jaką 'nie do odrzucenia'? IMO wyszło śmiesznie/żałośnie. Czy Microsoft
gania po sądach 'pryszczersów' jak któryś napisze Microshit?