validare textbox e consentire testo html

[pietro09]

Le versioni di Office di qualche tempo fa, mi obbligavano a crearmi un certificato fasullo per i miei stessi files nel mio computer

Va bene che le macro sono un po' pericolose, ma che sia trattato come pericoloso un file creato da me nel mio computer, è un po' comico

Con le versioni attuali di Office hanno risolto il problema, non la pericolosità delle macro.

Questo per dire che, se siamo collegati in rete, tutto è tendenzialmente pericoloso.

Comunque, fatemi un esempio di "pericolosità", che l'argomento mi sta interessando.

1) SELECT * from utenti WHERE 1 = 1 ? lo cassiamo, dato che usiamo i parametri
2) si presuppone che la gestione del database, oracle per esempio, sia fatta come si deve, cioè, l'utente che si connette ha i privilegi minimi per lavorare.

[djciko]

Comunque, fatemi un esempio di "pericolosità", che l'argomento mi sta interessando.

sono pippe mentali, io non credo che ci siano persone che si mettono a perdere tempo se non ne vale davvero la pena.
dipende da cosa si sta sviluppando e forse dalle politiche aziendali.

basta un minimo di architettura ed una programmazione ben fatta, percio' ripeto: che sito stai sviluppando, supermac ?

[U235]

Comunque, fatemi un esempio di "pericolosit�", che l'argomento mi sta interessando.

Ciao Pietro,
ad esempio si potrebbe far entrare nel codice uno script con un ciclo continuo che chiama (magari tramite ajax) un indirizzo specifico mandando in sovraccarico quella risorsa (che sia interna o esterna) ogni volta che un client carica e rimane sulla tua pagina "manipolata" (che continuerà incessantemente a chiamare la risorsa tramite ajax in tutti i client), facendo di fatto un attacco ddos tramite tutti i tuoi utenti (con il loro IP).
In realtà queste cose io non le faccio di sicuro, ma credo sia in linea teorica molto probabile se non metti un qualche tipo di blocco sull'input o in output.

[pietro09]

Ciao Pietro,
ad esempio si potrebbe far entrare nel codice uno script con un ciclo continuo che chiama (magari tramite ajax) un indirizzo specifico mandando in sovraccarico quella risorsa (che sia interna o esterna) ogni volta che un client carica e rimane sulla tua pagina "manipolata" (che continuerà incessantemente a chiamare la risorsa tramite ajax in tutti i client), facendo di fatto un attacco ddos tramite tutti i tuoi utenti (con il loro IP).
In realtà queste cose io non le faccio di sicuro, ma credo sia in linea teorica molto probabile se non metti un qualche tipo di blocco sull'input o in output.

Prima di tutto ti ringrazio del tuo intervento.
Però cerco di capire.
Quello che tu dici, se ho capito, è indipendente dal tipo di caratteri spediti nella richiesta. O sbaglio?

[U235]

Prima di tutto ti ringrazio del tuo intervento.
Però cerco di capire.
Quello che tu dici, se ho capito, è indipendente dal tipo di caratteri spediti nella richiesta. O sbaglio?

Grazie a te della discussione.
Non ho capito cosa intendi. Dicevo che se disabiliti la request validation e non fai un controllo manuale dell'input, la dove puoi far elaborare alla pagina un input del genere:

codice:

<b>qualcosa</b>

puoi far elaborare anche questo (sempre se incontrollato):

codice:

<script>qualcosa<script>

.
Ora immaginiamo il classico "muro" dove gli utenti inseriscono tag liberi per formattare il testo, questo significa che se io in qualche modo riesco ad inserire uno script come quello descritto nell'altro post, ogni volta che si visita il muro e si carica anche il messaggio contenente oltre il testo ben formattato e ben visualizzato (se no magari si accorge che c'è qualcosa di strano l'utente), conterrà anche il mio script. Diciamo che farei una cosa del genere (in pseudo codice semplificato):
input = "<b>Ciao! sono U235</b><script>codice malevolo</script>"
ora nella pagina per caricare i commenti fai una roba tipo:
<div><%=input%><div>
il risultato è che al caricamento della pagina da parte di tutti gli utenti sarà:
<div><b>Ciao! sono U235</b><script>codice malevolo</script><div>
e verrà visualizzato solo: Ciao! sono U235 mentre lo script che verrà elaborato (così come gli altri tag <b> ad esempio) in maniera invisibile farà il suo lavoro malevolo.

No?!