May 28

A partir de hoje o PokerStrategist será desactivado permanentemente. Recebi um aviso legal por parte da empresa que pediu para que removesse o programa por estar a violar alguns pontos dos termos e condições deles.

Sinceramente não sei qual a base legal para afirmarem que não posso publicar as respostas, mas também não estou para perder tempo com isto que surgiu como uma brincadeira para me ajudar a mim e a alguns amigos.

De: Ingo Mak [mailto:notice@pokerstrategy.com]
Enviada: sexta-feira, 28 de Maio de 2010 10:03
Para: xxxxxxxxxx
Assunto: Warning notice due to copyright infringement on your website

Dear Mr. Gouveia,

We have noticed that you offered your help on the website http://www.davidgouveia.net/tag/poker-strategy/ to solve the quiz on our website www.pokerstrategy.com by downloading a special software.

Transferring and/or publishing the answers of our quiz or providing them to other users is in contradiction with clause 2.6 of PokerStrategy’s Terms & Conditions. In such cases, we reserve the right to exclude the respective user from using the Services of PokerStrategy in accordance with section 4 of our Terms & Conditions.

Furthermore and in accordance with the Terms & Conditions of the Tell-a-Friend Program, in such cases we are entitled to reclaim Referrer Accruals already paid to you and/or to withhold future Referrer Accruals.
Therefore, we kindly ask you, to remove the respective article immediately. If you are going to publish or provide the answers of our quiz again, we will take the necessary legal steps to prevent you from doing that again.

Yours sincerely,

legal department

Tagged with:
May 10

Hoje descobri um novo truque que poderá vir a ser útil para muitas pessoas que ainda não o conheçam.

Um cliente que possui o serviço de email do seu domínio associado ao Gmail perdeu o acesso via POP2/IMAP. O mais estranho é que o acesso via interface WEB continuava a ser feito sem problemas e que todas as outras pessoas ligadas no mesmo domínio continuavam a aceder sem qualquer problema. Mais estranho ainda é que essa mesma conta funcionava DESDE QUE o acesso fosse feito a partir de outro IP que não o IP externo da ligação à Internet por eles utilizada.
Resumindo, se eu me ligasse a uma VPN, ou através de uma vulgar placa 3G não tinha qualquer problema. Utilizando ligação directa as credenciais eram sempre negadas.

Após muita pesquisa, lá consegui descobrir um pequeno pormenor que pode fazer toda a diferença.
O Gmail tem tendência a bloquear acessos via POP/IMAP no caso de detectar muitas ligações vindas do mesmo IP em intervalos de tempo muito curtos (menos de 10 minutos).

Apesar de a informação transmitida não ser muito clara, a verdade é que para restaurar o acesso, devem aceder a uma página específica, colocar o endereço de email e o código do captcha para provarem que são humanos. Após isto o acesso fica restaurado e o serviço volta à normalidade.

Para restaurar o acesso a contas gmail utilizem o seguinte link :

https://www.google.com/accounts/DisplayUnlockCaptcha

Para o caso de essa conta de email estar associada a um domínio próprio alojado no gmail usem este link :

https://www.google.com/a/[DOMINIO]/UnlockCaptcha

Mais informações aqui.

Tagged with:
May 04

I believe I have found a vulnerability in ClipBucket 2.0.6 (haven’t tested with prior versions).

ClipBucket is an open source and free script that will let you start your own Video Sharing (Youtube Clone) website in matter of minutes, ClipBucket is fastest growing script with most video sharing websites and social networking features.
current version: 2.0.6

Summary:
The script handling the search features is not sanitizing user input properly making it possible to produce XSS attacks.

Proof of Concept:

Use the search box of your ClipBucket 2.0.6 installation and Input:

 <script>alert(document.cookie);</script>

This will produce an alert with contents of your cookie.

Problem:
$search->key in search_result.php (line 18) is being directly assigned to the title of the search page without sanitizing its value first.

$search->key = $_GET['query'];

Workaround:
Open file search_result.php. Go to line 39:

Replace this:

Assign('search_type_title',sprintf(lang('searching_keyword_in_obj'),$search->key,$search->search_type[$type]['title']));

By this:

Assign('search_type_title',sprintf(lang('searching_keyword_in_obj'),htmlentities($search->key),$search->search_type[$type]['title']));

The ClipBucket team was already notified and the bug was corrected. Either apply this patch or upgrade your version to 2.0.7

Tagged with:
preload preload preload