On Tue, Oct 24, 2006 at 10:20:17PM +0300, Michael Shigorin wrote: >> http://secunia.com/product/4843/?task=statistics >> http://secunia.com/product/2546/?task=statistics MS> No comments.
Есть comment у меня -- у ваки один cross scripting, у Media есть и PHP code execution. В wacko багофича в том, что аттачи там чужеродный объект. И лежат они все в одном конкретном отдельном каталоге. И AFAIR кроме меня их вообще создавать могут 3 человека, в то что кто-либо из них будет пытаться эксполйтить кроме как для показа мне уязвимости -- не верю. И в то что перед даже таким эксполйтом меня не предупредят -- тоже не верю. Чистый HTML код в страницы сейчас могу вставлять только я, и только в педально-приводном виде. Так что даже та единственная cross-scriptiong идет лесом. У ваки _один_ недостаток -- ядро тяжело патчится. Потому что монолитное. Но и то я в него даже сам лазил и патчил, при том что познания в PHP у меня чуть выше "первый раз увидел PHP, и буду в эту гадость лезть только за 100$/секунда". -- С уважением, Денис http://freesource.info ---------------------------------------------------------------------------- P.S. Не делайте crosspost, я всё ещё читаю devel@ -- inger in devel@ _______________________________________________ smoke-room mailing list [email protected] https://lists.altlinux.org/mailman/listinfo/smoke-room
