| 1. |
ASP bug es egyebek (mind) |
70 sor |
 (cikkei) |
| 2. |
Tablazat szelei es a kepek (mind) |
16 sor |
 (cikkei) |
| 3. |
Re: Re: Csik-problema masodszor... (mind) |
30 sor |
 (cikkei) |
| 4. |
Kerdeseim (mind) |
19 sor |
 (cikkei) |
| 5. |
Re: Osszefogas! (hibak listaja) (mind) |
26 sor |
 (cikkei) |
| 6. |
Re: ASP bug, ASP konyvtar (mind) |
55 sor |
 (cikkei) |
|
| + - | ASP bug es egyebek (mind) |
VÁLASZ |
Feladó:  (cikkei)
|
Az ASP bug valóban létezik, ki lehet próbálni, sajnos a Népszabadság
gépére sem tették fel azt a javítást, ami a dolgon segítene. A dolog
valóban úgy néz ki, ahogy itt írtátok, a fájl neve után lehet írni a
::$DATA karaktereket, és ekkor valóban ASP processzálás nélkül adja
vissza a fájlt, ami azért lehet kellemetlen, mert néhány gyengébb
scriptben előfordulhat olyan megoldás, hogy aprogram szövegében van
például egy adatbázis connection string, amiben benne van az adatbázis
kapcsolathoz használt felhasználói név és jelszó.
A dolog akkor is igaz, ha nem ASP hanem CGI program az illető, Perl
programmal próbáltam ki, amely a konfiguráció szerint az ActiveSatet
PerlID.dll ISAPI Perl-lel kell, hogy fusson. Persze ez csak akkor igaz,
ha a scriptet tartalmazó könyvtárra a webszerverben a futtatás mellett
read jogot is adtunk (az ASP-nél ez szükséges). Ha valaki Perl CGI-t
futtat akár egy Perl.exe futtató felhasználásával, akár az ActiveState
PerlIS.dll-t használva, akkor elegendő arra a könyvtárra, ahol a Perl
programok vannak execute jogot adni a webszerverben. Ez igaz az IIS3.0
és IIS4.0 esetén is.
Persze nem ez az igazi megoldás, hanem a bugfix, amely rendelkezésre áll
a
ftp://ftp.microsoft.com/bussys/IIS/iis-public/fixes/usa/security/
IIS 3.0 (Intel x86) hotfix /iis3-datafix/iis3fixi.exe
IIS 3.0 (Alpha) hotfix /iis3-datafix/iis3fixa.exe
IIS 4.0 (Intel x86) hotfix /iis4-datafix/iis4fixi.exe
IIS 4.0 (Alpha) hotfix /iis4-datafix/iis4fixa.exe
helyeken.
Egyébként ha valaki Perl vagy bármilyen más nyelven CGI programokat ír,
akár UNIX, akár Windows NT alá, alapvető szabály, hogy
o a scriptek könyvtáraiban csak futtatható álományok vannak
o a html könyvtárakban nincsenek futtatható scriptek, vagy programok, és
o a programok minden olyan információt, amely kritikus lehet biztonsági
szempontból olyan fájlból veszi, amely nem érhető el a webszerveren
keresztül, másszavakkal a konfigurációs és adatfájlok nincsenek sem a
html, sem pedig a futtatható (cgi) könyvtárban (vagy az alatt).
A saját felügyeletem alatt levő gépekre természetesen felraktam a
fixeket, még mielőtt valaki megpróbálta volna letölteni a scripteket,
bár a cgi jellegűekket nem tudta volna, és az ASP-kkel sem ment volna
sokra.
Az egésznek az oka, egyébként az, hogy az NTFS fájlrendszer többszörös
adatfolyamokat biztosít egy fájlon belül (meg ne kérdezzétek, hogy az
mi, ezt most fordítom, valaki majd csak megérti, feltehetőleg a VMS is
hasonló). A fő adatfolyamnak, amelyik az elsődleges tartalom tárolására
szolgál az egyik attribútuma a $DATA nevű.
(Na így lehet ilyeneket kitalálni, mert egyébként honnan álmodta volna
meg, hogy pont a ::$DATA karaktereket kell a .asp után írni. A VMS is
hasonlót a fájlrendszerre gondoltam, nem az asp bug-ra. :-)
További információk:
- Microsoft Security Bulletin 98-003, File Access issue with Internet
Information Server
http://www.microsoft.com/security/bulletins/ms98-003.htm
- Microsoft Knowledge Base article Q188806, NTFS Alternate Data Stream
Name of a File May Return Source,
http://support.microsoft.com/support/kb/articles/q188/8/06.asp
- Microsoft Knowledge Base article Q105763, HOWTO: Use NTFS Alternate
Data Streams,
http://support.microsoft.com/support/kb/articles/q105/7/63.asp
|
| + - | Tablazat szelei es a kepek (mind) |
VÁLASZ |
Feladó:  (cikkei)
|
Kedves mindenki!
Abban en is igazat adok mindenkinek,
hogy ne a sortoresekkel igazitsatok
a kepeket, de szerintem a margoknal
kicsit elegansabb (felteve, hogy mind
a negy szelen ugyanazt szeretne valaki)
a CELLPADDING tag.
Pl.:
<table ... cellpadding=3 ...>
(..)
</table>
Udv:
Baranyai Laszlo
http://student.kee.hu
|
| + - | Re: Re: Csik-problema masodszor... (mind) |
VÁLASZ |
Feladó:  (cikkei)
|
> Vagy igy is lehet, bar ez nem olyan szep:
> ... <TD
> WIDTH=300><IMG ...></TD>
> Tehat a tagek es az attributumok kozotti szokozt helyettesiteni
> soremelessel.
Szerintem ez az adott lehetosegek mellett szepnek is nevezhetjuk, pl:
<BODY
MARGINWIDTH=0
MARGINHEIGHT=0
LEFTMARGIN=0
RIGHTMARGIN=0
TOPMARGIN=0
BOTTOMMARGIN=0
...stb
>
vagy:
<DIV STYLE="
position: absolute;
left: 32px;
top: 64px;
...stb;
">Hello, en egy tab-maniakus vagyok</DIV>
Csak nem kell atesni a lo tuloldalara:
<TD
>A szanatorium lakoinak weblapja<!--
--></td>
-case
|
| + - | Kerdeseim (mind) |
VÁLASZ |
Feladó:  (cikkei)
|
Hello o Webmesteresek!
Lehet, hogy hulyeseg amit kerdezek !
Kerdese(im):
1. Ki tudja a NASA www vagy E-mail cimet ?
2. Ki tud egy magyar levelezesi listat mutatni ? (a HiX en kivul)
3. Ki tud valami ingyenes pl.: e-mail cimet, www oldalt stb. mutatni ?
4. Ki tud egy hely ismertette tetelet a WEB-en ?
5. Miert nem ismeri fel a Windows 95 a modememet csak "alapmeretezett modemkent
" ?
6. Melyik a legjobb FTP program ?
A valaszokat a kovetkezo cimre kerem:
E-mail: 
WWW lap: www.nexus.hu/petoke (kb. 1 honapon belul keszul el !!!!!!!!!!)
Elore is koszi !!!
|
| + - | Re: Osszefogas! (hibak listaja) (mind) |
VÁLASZ |
Feladó:  (cikkei)
|
Vadász Gábor  > írta:
[...]
> Ossze kene fognunk es szerkeszteni egy listat, hogy mindegyik op.-ban vagy ba
rm
> ilyen programban milyen es mennyi hiba van.
[...]
> Varom azokat akik reszt vennenek a hibak irasaban !!
>
> Letezik a FREEMAIL az is ingyenes e-mail cimet ad !
> (http://www.freemail.c3.hu)
> Csinalok egy postaladat es oda varjuk a hibakat !
Az otlet nem rossz, de ez igy eleg butasag. Akkor mar inkabb
egy levelezolistat csinalj.
Masreszt pedig az Internet hemzseg a hibajegyzekektol es hasonlo
forumoktol (igaz ugyan, hogy legtobbjuk angol nyelvu). Ettol persze
me'g lehet, hogy az 1000 meglevo melle egy 1001-ik is hasznos.
Zsolt
>
> Remelem sok hibat irtok majd !
>
> Remelem jo az otlet ???
>
> E-mail: mailto:
|
| + - | Re: ASP bug, ASP konyvtar (mind) |
VÁLASZ |
Feladó:  (cikkei)
|
>Felado : Kaczmarek Edva'rd
>
>Ha egy .asp-re vegzodo URL-t kiegeszitunk ugy, hogy a vege (meg az
>esetleges parameterek elott)
>asp::$DATA
>legyen, sok esetben megkapjuk magat a kodot. Nepszabadsageknel peldaul
>igen.
>Velemenyem: :-)))
Csak nem Te is az Internetto-n olvastad ?
Ezt ott úgy írják, hogy az IIS3 ill. az IIS 4 hibája,
de már a MS kiadott v.mi javítást, és a honlapról is
letöltheto, ha jól emléxem.
>Felado :  [Hungary]
>Tetko-nak:
>
>> Gondolom Te az InetPub konyvtarra gondolsz, nem ?
>Nem, a web-server rendszerteruleten belul keresd.
Jo lett volna, ha esetleg tudsz irni egy eleresi utat.
Gondolom ez minden NT Serveren ua. lehet.
>> ebben mar az IIS4-es van. Szoval ha lecsereljuk az IIS3-at a
>> NT Option Pack-ban levo IIS4-re, akkor futni fog a .asp
>> fajl is.
>
>Remeljuk. De csupan az ASP mukodesre birasa miatt
>nem kell feltetlenul atterned a 4-esre ( nehogy egy gond
>helyett tobb legyen ).
:D Köszi a figyelmeztetést, de nem csak ezért akarom
kiprobalni, gondolom tobbet tud mint az IIS 3, ill. lsd.
az ebben a temaban irt levelem (FTP virtualis konyvtar, ..)
>A legovatosabb tanacsom:
>szerezz be egy korrekt CD-t, telepits rola egy minimal
>( + iis3 ) server OS-t, _kulon_ konyvtarba a meglevo OS melle.
>Ha ebben mukodik, akkor megtalaltad az igazit
>( marmint CD-valtozatban :) Boot-olj vissza az eredeti
>rendszerrel, es megkezdheted az iis kornyezet
>ujratelepiteset.
>Jo install-t:
Kösssz :-( Tudod mennyi kedvem van ehhez ?
Köszi, Üdv.: Tetkó !
Ifj. Kranabeth Zoltán (00-36-87/322-636)
GDF Keszthely: www.georgikon.pate.hu/gdf
Cím: TAPOLCA, 8300 , Alkotmány u. 12/B 3./1.
BEC Kft.: www.balatone.hu
E-Mail:  , 
|
|
