audio-video-disco

Kaum ist Nico Lummas shoppero.com gelauncht worden, da gibt es auch schon das erste Sicherheitsproblem. Wie Bjoern von ThinkPHP aufgedeckt hat, findet auf einer Empfehlungsseite eines Nutzers eine Second Order XSS Attacke statt, welche mal eben die eigene Session klaut. Damit auch “Otto-Normal” das ganze versteht, dokumentiert Bjoern das ganze noch mit ein paar erschreckenden Screenshots und für alle Experten gibt es eine “Analyse” des HTML-Sourcecodes.

Ok, so etwas kann passieren – Programmierer sind ja auch nur Menschen – aber vielleicht hätte sich das Shoppero-Team doch etwas mehr als knapp 6 Wochen Zeit nehmen sollen, um das System in die Public-Beta zu hieven. Vielleicht hätte es auch ein simples htmlentities() im Code gereicht, um zumindest den “gröbsten Dreck” draußen zu lassen, doch kenne ich den Code nicht um derartige Rückschlüsse zu ziehen.

Nun ja, Nico wurde bereits per E-Mail benachrichtigt und es bleibt abzuwarten, wie lange der Bug bzw. der Schadecode noch online ist. Im Moment ist er es auf jeden Fall noch. Auf jeden Fall ist es kein wirklich guter Anfang für ein so junges Startup … So long, so was passiert und StudioVZ hat´s auch überlebt, von daher wird das Kind noch nicht in den Brunnen gefallen sein ;)

Update
Auch bei fixmbr ist man dem XSS-Problem schon auf die Schliche gekommen und auch hier gibt´s reichlich Stoff zur Diskussion

Krugle, die, wie ich immer so schön sage, “das Rad nicht 2mal erfinden Quelltext-Suchmaschine”, durchsucht, dank einer offiziellen Partnerschaft zwischen Krugle und Microsoft, nun auch Shared-Source-Projekte auf Codeplex.

Damit ist die Quelltext-Suchmaschine um 6,5 Millionen Zeilen Code reicher geworden, darunter auch einige Codehäppchen für .NET und ist neben Google Code Search wohl eine der nützlichsten Funktionen für Entwickler in den Weiten des WorldWideWebs.

[via Golem.de]

Eine IP-Adressen einem Land programmatisch zuzuweisen ist eigentlich nicht schwer. Im Netz finden sich einige freie Datenbanken, aus denen man die notwendigen Informationen abgreifen kann. Auf www.ip2nation.com findet man z.B. einen MySQL Dump sowie diverse Beispielscripte, um eine Abfrage dieser Art in PHP zu bauen.

Mehr oder weniger problematisch wird das ganze allerdings, wenn man versucht eines der Beispiele von ip2nation für C#.NET umzubauen. Zwar lassen sich die etsprechenden Tabelle und Inhalte recht einfach auch in einen MS SQL Server importieren (lediglich der Datentyp der Spalte ip in der Tabelle ip2nation muß in den Datentyp bigint geändert werden). T-SQL verfügt allerdings nicht über eine INET_ATON-Funktion, wie man sie z.B. von MySQL kennt.

Kurz zum Verständnis: INET_ATON ist eine MySQL Funktion, die eine Ganzzahl zurück gibt, welche den numerischen Wert einer Netzwerk-Adresse darstellt.

Für C# benötigen wir daher zunächst mal ein entsprechendes Äquvalent für die INET_ATON Funktion:

Das SQL Statement kann dann auch schon fast so bleiben wie es im Beispiele von ip2nation angezeigt wird, lediglich das “LIMIT 0,1″ sollte man gegen ein TOP 1 austauschen, da MS SQL diesen Befehl nicht kennt. Im Rahmen einer Stored Procedure würde das Ganze dann etwa so aussehen:

Und das war´s eigentlich auch schon. Nun sollte ein einfacher Aufruf DotNetINET_ATON(ip) den numerischen Wert einer Netzwerk-Adresse zurückgeben, die man dann auf die Datenbank bzw. Stored Procedure jagen kann.

Ob der Code richtig arbeitet, kann man übrigends leicht durch die IP 127.0.0.1 feststellen. Hier sollte DotNetINET_ATON als Return-Wert 2130706433 zurückgeben.

Man lernt doch nie aus …

Zeichenketten, in denen keine PHP-Variablen vorkommen, die ersetzt werden, sollten immer in Singlequotes eingeschlossen werden.

Hm, dabei fand ich das in meiner PHP IDE einfach immer nur übersichtlicher .. nu is das sogar auch noch schneller :)

[via 4null4.de & bueltge.de]