Nisam neki programer,ali ovo mi izgleda presmiješno.
Pa lako moguće haha
Ovo oko ubacivanja morao sam dvaput pročitat. Smiješno. Ono, kao ja odem na neku stranicu na Internetu i ubacim programski kod šale radi jer mi se tako htjelo, copy/paste na neki server. Yea, right, imam osjećaj da je netko s admin ovlastima popušio nekog trojananca na svom laptopu.
Mogla je biti i jedna linija da su minimizirali 
Nema veze da li je 22 linije koda ili 22,000 linija koda. Ovo je samo "code injection" koji utječe na to što će "gumb Ok" na web formi raditi. Bez direktnog pristupa na njihov server i na razvojni kod (možda i na bazu) nikakav code injection nije moguće ubaciti.
Najbitnija stvar u ovoj priči jest da su uspjeli ubaciti maliciozni softver na njihove development servere koji je bez ičijeg znanja kod mijenjao. Vrlo vjerojatno imaju krticu, možda neki junior developer nije zadovoljan s plaćom, možda je neki stari senior pred penziju odlučio se malo baviti "hackiranjem" da si uzbudi život, tko će ga znati.
Zabrinjavajuće je da tako velika kompanija (koja si može priuštiti apsolutno sve) ima takve očite rupetine u svojem internom poslovanju i procesu developmenta. Tko zna što još možemo očekivati i od drugih, jer očto je da su ovi samo vrh sante leda.
Zabrinjavajuće je da tako velika kompanija (koja si može priuštiti apsolutno sve) ima takve očite rupetine u svojem internom poslovanju i procesu developmenta. Tko zna što još možemo očekivati i od drugih, jer očto je da su ovi samo vrh sante leda.
Nije li tzv. ljudski faktor uvijek očita rupetina u svakome sustavu?
kako elegantno...
Trust nobody, become the best !
cek jel se moze ajax samo tek tako poslati na neku drugu domenu? kak to browser dopusti? 
cek jel se moze ajax samo tek tako poslati na neku drugu domenu? kak to browser dopusti?
Naravno da može, kako radi Google Analytics? Sve ovisi o CSP definiciji na serveru...
Moguće, iako je poprilično nevjerojatno.
cek jel se moze ajax samo tek tako poslati na neku drugu domenu? kak to browser dopusti?
Ako nema CSP headera, browser po defaultu dopušta ajax upite na domene koje to dopuštaju. Znači, defaultno je da ciljani endpoint mora dopustiti CORS, a matična stranica zabraniti.
.. jedino je smiješno što se na svaki ovakav događaj odgovara generičkom ''hacker'' rečenicom, mada su hackeri samo u jamesbondu, ostalo su insiderjobovi.
smiješno/tužno je kad se formatirani cod mjeri na broj linija, koji je nevažan, .. služi preglednosti/održavanju kao i removi, dok ni u bytoevima ne znači puno, jer su stvar podržanih naredbi, koje mogu biti 'kratke' .. ispada (pošto je naslov upravo takav) da je važno 22 linije.. i upgrade-jača verzija će imati ''samo 19 linija!!'' :) .. a nisu važne rupe, sigurnost, sustav koji to (ne)dozvolajva ili čitava IT industrija koja je šuplja..
- i smiješno je, što firme-kompanije imaju i zakonsku odgovornost.. kazna. No to se ne spominje, samo 22 linije, a jednom će možda i to (ili je lobi koji to prevenira prejak u EU..).
Slažem se, ove 22 linije koda su nevažne u cijeloj priči (da se radi o bilo kojoj drugoj stranici opet bi bilo 20-tak linija).
Totalno misleading za neprogramere - ispada kao da je ta skripta omogućila krađu podataka (a prvi komentar to i potvrđuje) što nije istina - skripta je poslužila samo za kopiranje podataka,
a koliko linija koda može imati skripta koja kopira par podataka s jednog mjesta na drugo - pa i ove 22 linije su previše!
Ovo je isto kao da piše "Samo jedan USB stick je bio dovoljan za krađu podataka iz.." u slučaju da su koristili USB stick da prebace podatke.
1. Nije xxs nego xss
2. Skripta nema veze sa SQL injection-om, iako je on mogao biti korišten da se dođe do pristupa te da se ubaci skripta koja se spominje
3. Imaš sliku koda u tekstu
4. ProuČi gramatiku
Bar su ukradeni podaci slani preko https-a :)
Sigurnost prije svega.
