VladSavitsky May 1 2012 at 20:50

Google Chrome хакеру не помощник

3 min

18K

Google ChromeWebsite development*Information Security*

+68

Comments 42

halyavin May 1 2012 at 21:06

Если что-то в chrome может мешать разработчиком, обязательно есть флаг, чтобы это отключить.

TheShock May 1 2012 at 21:48

Ага, например, disable-web-security, что очень круто и чего не хватает в других браузерах

m_z May 1 2012 at 22:12

Мне мешает интерактивная HTML5 валидация форм при разработке, как отключить ее флагом я не нашел…

BlackSwan May 1 2012 at 23:54

открыть в хроме страничку about:flags
и там есть параметр «Отключить проверку интерактивных форм в формате HTML5»

BlackSwan May 2 2012 at 00:20

На случай если у себя такой не найдете, у меня в «20.0.1115.1 dev-m» оно есть. В дев-версии оно с самого начала обработки ХТМЛ5 форм.

Goryn May 1 2012 at 21:21

>>гугл использует свой браузер для сбора инфы — так что тут палка о двух концах.
Я думаю, не такой уж и серьёзный недостаток: фольга нынче дешёвая.

dasm32 May 1 2012 at 21:43

фольга нынче дешёвая.

Да и другие браузеры тоже :)

Mairon May 1 2012 at 21:24

А вот защищать себя от XSS вполне получится, но стоит помнить, что гугл использует свой браузер для сбора инфы — так что тут палка о двух концах.

Use Chromium, Luke.

Gendalph May 1 2012 at 21:32

черт, меня опередили :(

Rome May 2 2012 at 20:52

На хабре постоянно это рекомендуют, но вопрос как поставить этот хромиум? Хром ставиться в два клика. А хромиум — там целая инструкция на сайте как поставить. Прям теория заговора какая-то.

trikadin Jul 9 2012 at 01:28

Вам ещё и на линукс надо перейти — в той же убунту он ставится одной командой)

UFO landed and left these words here

d00kie May 1 2012 at 22:53

В IE фильтр XSS лучше всех пока-что

UFO landed and left these words here

d00kie May 2 2012 at 02:05

Так хром и того больше пропускает 8)

d00kie May 2 2012 at 12:01

Ну если реального примера мало, вот еще почитайте — www.adambarth.com/papers/2010/bates-barth-jackson.pdf

d00kie May 2 2012 at 02:15

О е… опытные XXСеры и знатоки фильтров минусуют )

Ну вот пример:

testasp.vulnweb.com/search.asp?tfSearch=%3Cscript%3E//&tfSearch=%0A//&tfSearch=%0aalert(1);%20var%20x=[''&tfSearch=''];%3C/script%3E

Сравните в Хроме и в ИЕ. Хакиры…

Smerig May 2 2012 at 09:53

Хм, даже ИЕ8 изменил содержимое страницы и предупредил об этом

UFO landed and left these words here

Gendalph May 1 2012 at 21:31

А вот защищать себя от XSS вполне получится, но стоит помнить, что гугл использует свой браузер для сбора инфы — так что тут палка о двух концах.

По-моему сбор данных Chrmium'a не касается, а XSS Auditor там есть.

dasm32 May 1 2012 at 21:41

Не знаю насчет текущей ситуации, но: habrahabr.ru/post/101396/

Mairon May 1 2012 at 21:53

Закрыли давным-давно. RLZ сам по себе не такой уж и шпионский элемент.

SergeiStartsev May 1 2012 at 21:51

Итак, стал проверять всевозможные варианты внедрения кода — но без результата

За ссылку спс, будем тестить новые варианты.

BeLove May 1 2012 at 22:54

В большинстве своем хватает универсального вектора.

Alexufo May 1 2012 at 21:57

А на самом деле смысл статьи был пропиарить сайт с котами . Какой хитрый трюк однако.)

VladSavitsky May 2 2012 at 00:00

Да мне просто фотка понравилась, а ссылку я тольео после вашего комментария заметил… Можно, конечно отрезать, но ссылка ведь не кликабельная.

Alexufo May 2 2012 at 00:04

я тоже долго смотрел на него и понял что в нем совместились 2 эмоции. Да шутка про ссылку-то котэчно.

smartov May 1 2012 at 22:15

Google использует интернет для сбора информации. Используй ссылочный FIDOnet, %username%.

de1337ed May 1 2012 at 22:40

Векторный и гипертекстовый?

Homakov May 1 2012 at 22:49

а так нельзя было обойти?
a = 'http://first' a+='second.co'; a+= 'm' или как он вырезает?

UFO landed and left these words here

VladSavitsky May 2 2012 at 00:04

Согласен, «не новость» для тех, кто держит руку на пульсе, но так как я отслеживаю узкое направление связанное скорее с безопасностью кода, то был просто удивлен, что браузеры взялись за борьбу с XSS — считал, что это должны делать разработчики на уровне кода.

ilyaplot May 2 2012 at 02:27

Защита от XSS в браузерах — это еще не повод забывать о защите на уровне кода.

aprel_co May 2 2012 at 15:48

А в каких случаях необходимо js код получать в ответах от сервера? Просто интересно, действительно ли возникает такая необходимость или это просто привычка девов к говнокоду?

UFO landed and left these words here

aprel_co May 2 2012 at 17:13

Может, все-таки «Нет таких случаев, когда без этого нельзя обойтись»? ))

UFO landed and left these words here

WaveCut May 3 2012 at 02:43

Просто это удобно, аля RPC

UFO landed and left these words here

VladSavitsky May 2 2012 at 12:52

Потому что браузер один из инструментов. Нужно выполнить внедренный JS, чтобы подтвердить возможность XSS и легче всего это сделать в браузере. Кстати, а можно ли это сделать из консоли?
А не помощник потому, что мешает мне выполнить мою работу. Да, этот Auditor был добавлен больше 10 релизов назад, но гугление на эту тему дало очень мало результатов и я считаю полезным осветить эту тему. Я потерял много времени пытаясь выяснить причину и хочу помочь другим не повторять мои ошибки.

VladSavitsky May 30 2012 at 16:03

Google Chrome 19 теперь пропускает XSS. Ещё одно подтверждение того, что не стоит полагаться на защиту бразуера, а нужно делать нормальный код.

Кто-нибудь в курсе с чем связано такое изменение? Это случайность или закономерность?