On 8 Kwi, 10:06, Michal Zalewski <l...@d...ids.pl> wrote:
> Odnosiłem się tutaj do testowania zabezpieczeń cudzych witryn WWW jako
> takiego, bez rozpatrywania, jak sąd zinterpretuje konkretną aktywność, bo
> tego po prostu nie wiem, niezależnie od tego, ile ustaw przejrzę. Nie jest
> dla mnie jasne, do jakiego momentu "tajny" URI jest zabezpieczeniem
> symbolicznym, od jakiego - nietrywialnym; albo czy do różnych części URI
> należy stosować inne reguły (czyli czy np. '/stats' jest równoważne
> '/login?user=admin&pass=admin').

Pozwolę sobie zacytować wypowiedź rafian'a z forum hack.pl:
<cytat>
Witam.
Jestem klientem home.pl od wielu lat jak założyłem u nich konto
wszedłem sobie na swoją stronę z logami, stwierdziłem, że takie
informacje nie powinny być jawne i zabezpieczyłem ten katalog hasłem,
czynność zajęła o.k 1min.
</cytat>

Oraz Kwadrata
<cytat>
Najśmieszniejsze jest to że ja osobiście jakiś rok temu pisałem o tej
sprawie do home.pl :] Oficjalnie wysłałem pismo na a...@h...pl bo
sam MIAŁEM tam konto i zaniepokoiła mnie ta sytuacja Nawet sobie
zrobiłem generator linków :P Żeby sprawdzić czy faktycznie to się
sprawdza, bo aż nie mogłem uwierzyć :]

Na co dostałem odpowiedz od administatorów, żebym sobie zabezpieczył
konto/katalog i nie zawracał im gitary ;]
</cytat>

IMHO problemem adminow poszczegolnych kont na home.pl jest
niezakładanie hasła na statystyki.
To że nie jest to zrobione by default przy zakładaniu konta można
traktować jako niedopatrzenie, to że nie było jawnej instrukcji dla
klienta żeby sobie takie hasło założył niedopatrzeniem większym. Ale
nie traktowałbym tego jako dziury.

pozdrawiam,
Vladimir