Hallo,
Zitat:
Zitat von Frank Schmidt
Hab ich mit dem Link dann hiermit getan. Es geht darum, dass ein leerer Parameter Schadeen anrichten kann sondern dass man in eine URL an Stelle des Parameters ein schädliches Javascript einbauen könnte.
|
eben darum ging es aber nicht. Es ging nicht um die Manipulation eines Parameters, sondern um das Weglassen; du hast bemängelt, dass man bei click-TT auf einer bestimmten Seite durch das Weglassen eines Parameters eine andere Funktionalität erreicht und dies als sicherheitskritisch dargestellt. Und das (nur das!) ist so pauschal nunmal Unfug.
Zitat:
|
Eben nicht, einen im Hintergrund übertragenen Parameter kann ich in der Adressleiste des Browsers nicht manipulieren.
|
die Adresszeile des Browsers ist nur eine von mehreren Möglichkeiten, Parameter an eine Webanwendung zu übertragen. Egal wie sie übertragen werden, sie kommen immer noch vom Client und sind damit manipulierbar. Daher ist deine Aussage, auf die ich mich bezog, so nicht korrekt. Aber das wird jetzt zu technisch und gehört nicht in dieses Forum. Dein letzter Satz zeigt mir außerdem, dass du von der Materie überhaupt keine Ahnung hast.
Das Problem ist, du wirst jetzt wieder etwas ganz anderes, was du vorher nicht gesagt hast, aus dem Hut zaubern, das zwar im Kern korrekt ist, aber nichts mit dem zu tun hat, was du vorher behauptet hast. Ich habe an dieser Art der Diskussion kein Interesse mehr und klinke mich an dieser Stelle aus.
Ich kann mir übrigens auch gut vorstellen, dass das auch für andere Teilnehmer hier der Grund ist, warum sie dich so scharf angehen. Wenn du nämlich auch da immer wieder neue Argumente vorbringst, die mit dem, was du vorher gesagt hast und auf das sich die Leute bezogen haben, nichts zu tun haben, kann ich gut verstehen, dass verärgert reagiert wird. Und ob das, was du hier sonst so schreibst korrekt ist, kann ich mangels Wissen um Verbandsangelegenheiten nicht beurteilen.
Gruß,
Ed.