"Instrukce na adrese xxxxxxxx provedla neplatnou operaci" - tohle mi řekla Opera, poté co jsem klikl na Mastercard a potom náhodou na Reuters. Samozřejmě, místo toho "xxxxxxxx" byla nějaká šílená adresa, ale neobtěžuju se to vypsat. Svým způsobem by mohl prohlížeč nějak filtrovat Java scripty, takže je možné, že se to již děje a Opera to nedovolí. Mimo to, jsem už tak docela dost paranoidní, takže než jsem klikl na odkaz, nemohl jsem si nevšimnout v popise ".js". Vždycky než někam registruju, dělám to samé. Tudíž si dovolují říct, že pokud to nebude chytřejší, mě se to netýká. Mimo to, nejsem padlej na hlavu, abych uvěřil, že mi Mastercard posílá e-mail, ačkoliv Mastercard opravdu mám. Protože mám takovej dojem, že angličtina není moje rodná reč a kartu jsem registroval v Čechách

SP2 RC2 WXP, IE tomu taky brani, v url baru jde videt vlozeny skript

vlozeny script je videt i v opere, coz je tusim pro lamy uzivatele na nic. Nemyslim to nejak urazlive, ale myslim, ze vetsi uzivatelu ode me z prace by klikla a starosti si nedelala. Jedine co nas zatim tak trochu chrani je to ze anglictina neni nas rodny jazyk.

Stejně mě zajímá, jestli ten pád u Opery znamená, že je to proti tomu chráněný, nebo že mám já někde chybu v systému. Když to zkusím na MSIE, žádný problém. Ale Opera vždycky spadne. Zkusím to ještě na druhém PC, který má SP2 (ačkoliv nějaká beta či co)

Chm, to je mi ale novinka... Cross-site scripting a script injection jsou veci ktere jen ja znam minimalne dva roky (od chvile kdy na ne dojel muj prvni web) pricemz nejsem zadny webfanatik ktery nejam porad vyviji weby (jen mi de o alespon relativni bezpecnost mych praci) a tady je to prezentovano jako desna novinka, ze to taky jde... To zas nekdo objevil ameriku...
Osobne si myslim ze kdo dela takovehle debilni skolacke chyby se nema co hrnout do oblasti vyroby komercnich webu. Zive si pamatuju na server www.volby2002.cz kde jim nekdo pomoci cross-site scriptingu smazal MySQL databazi :-/

Omlouvam se za ten preklep... jeeezisi to sem se zas jednou nasral...

Opera/7.50 (X11; Linux i686; U) [cs]
... zblajzne to aji s navijákem ... a bez chyb :o)

Pro ty co nevedi - toto neni zalezitost prohlizece a prakticky neni jak se proti tomu branit, url s vlozenym skriptem je legalni URL a toto muze byt i uzitecne. Neni to ani chyba prohlizece, ani systemu ve kterem je web vyvinut, je to jen a jen debil programator.

Pro ty kteri by pochybovali - Opera na Linuxu mi to sezrala uplne bez problemu

Jo jeste verzi - mam Operu 7.52 na Linuxu, samozrejme na Intel platforme, anglickou verzi (s ceskym language packem i bez neho).

A jeste jedna vec (snad uz posledni, kdyz sem nasranej, nemysli mi to), neni to zneuzitelne jen k tomu, aby se mi ukazalo neco co se ukazat nema, daji se s tim delat pri kusy uz proto, ze si muzu napsat _JAKYKOLIV_ kus kodu, muzu pouzit vse co ma k dispozici programator systemu. Takze klidne muzu pockat az se uzivatel prihlasi a pak svym skriptem podvrhnout cislo ciloveho uctu v e-bankingovem systemu pri prevodu penez a podobne - moznosti jsou neomezene. Proste pokud je programator debil, budiz nam nebe milostivo a nase (nejen) penize chran Buh...

MSIE 5.5, naprosto nezáplatovanej, a i v něm vidím v URL jakési nepřístojnosti. Nevím kde autor originálního článku típnul tu obrazovku s čistoskvoucí adresou, možná ve fotošopě.

Abych byl přesnější "Instrukce na adrese xxxxxxxx provedla neplatnou operaci:read". Mám i screenshot. Ale když říkáte že to funguje, chyba musí být opravdu v mém PC

Brabucha: Uklidni se! :) A nemlať do tý klávesnice, nic ti neudělala
:D

2Petr:
Me proste zustava rozum stat, kdyz vidim, jak spousta schopnych webprogramatoru nema praci, a pak potkam velke weby velkych spolecnosti, ktere delal nejakej blbecek-amater, kterej je schopnej do takove celkem dulezite aplikace nasekat skolacke chyby a jeste za to jiste dostal spoustu penez, a navic vidim, ze ty spolecnosti to absolutne nesere a evidentne o tom ani nevedi. Asi tak...

Samozrejme ze vzdy nemusi, mastercard je (nastesti) jen zneuziti JavaScriptu, ale nechapu proc se tam vklada tak blbe. Nicmene se mluvilo o provozovani vlastnich skriptu na cizich strankach, coz muze (a dost casto i je) zneuzito k spusteni vykonneho kodu primo na serveru.

Jeste jedna vec by me zajimala - jak je (podle autora) proti teto chybe osetrena Opera? Nebo spis - jak si autor clanku predstavoval, ze by proti necemu takovemu mohl byt jakykoliv prohlizec osetren? (kdyz vlastne neni co osetrovat)

Takové chyby nejsou v učebnicích. Pokud to programátora nenapadne je tak, neznamená to že je hloupý. Je to taky o informovanosti. Pokud jde o kvalitu webprogramátorů, firmy vedou obchodníci, co tomu nerozumějí a obecně se oceňuje rychlost a grafické cítění (vše nemůže dělat jen grafik). U výběrového řízení se oceňuje praxe, reference a výřečnost. Talentové zkoušky se nedělají. Dokonce ani v agenturách, kde si to zadavatel zaplatí (ty agentury nic neumějí, a rozumná firmy řeší personalistiku sama), takže mohou být opravdu nezaměstnaní géniové.
Pokud bych chtěl super bezpečnost, nepsal bych skripty, ale v CGI v pořádném jazyce a bez knihoven stažených kdoví odkud. Dot-Netu kvůli jeho složitosti také nevěřím. Možná bych dal přednost nějakému jednoduchému malému serveru jako je MyServer, na něm by běželo FastCGI v C++.
Když se tady zmiňoval linux, prohlížeči možná nepomůže, ale rozhodně bych dal přednost Apachi na Linuxu před Microsoftovýma komplodama. Navíc do Windowsu vnikne nějaký TCP/IP vir a ovládne i případný Win - Apache. Ne že byl Linux kdovíjak bezpečný, ale za tím se na něj hackeři méně zaměřují.
Proč se vlastně dělají weby na Windowsech ? O tom opět rozhodují manažeři - hokynáři a ne programátoři - odborníci.

Cožpak u MasterCard je alespoň vidět to podvržené URL v adresní řádce. Zkoušeli jste ale ty další odkazy? U GCHQ a Natwest v adresní řádce nic takového vidět není, protože URL se posílá přes POST:
http://www.natwest.com/search/index.asp
 
Takže to vypadá daleko míň podezřele.

K te opere - mozna bylo mysleno toto:
http://www.opera.com/windows/changelogs/753/
ovsem to je podle me jiny problem, protoze snad vsechny prohlizece ukazuji includnutou URL