Pull to refresh

Возвращение «Чёрного Властелина»?

Reading time1 min
Views893
Вот что бывает, если не выполнять очистку HTML и экранизацию спецсимволов.

Разработчикам хабра — позор! Сайт работает не один год, но до сих пор нормально не сделали безопасный вывод контента! Ни экранизации символов, ни очистки HTML'а от «вредных примесей»!

Хорошо ещё, что бесятся находятся такие ребята, как Satana, привлекая внимание к проблеме. А ведь всё может быть серьёзнее. Не удивлюсь, если скоро выяснится, что некоторые ушлые парни уже давно втихаря эксплуатируют разные уязвимости хабра на широкой аудитории. Например, строят бот-сети из нас с вами.

Извините за резкость, но это — неуважение посетителей. Так можно и доверие к сайту потерять.

P.S. Оправдываться тем, что «скоро выйдет новая версия» — глупо. Представьте, если бы Micrsoft прекратил выпускать критические обновления к Windows XP, мотивируя это тем, что «скоро выйдет Vista»?! Может и выйдет, но всякие «кул хацкеры» эксплуатируют хабр прямо здесь и прямо сейчас. Вы уверены, что ваш браузер не имеет ни одной уязвимости? Я — нет. Хотя и пользуюсь последним Firefox в убунте и ставлю все обновления.

Upd: Всем, кто считает, что про бот-сети я сгущаю краски, советую набрать в гугле фразу «Internet Explorer CSS vulnerable». Вот, например, уязвимость (MS07-033) Microsoft CSS Tag Memory Corruption Vulnerability от 12.06.2007, с замечательным описанием «A vulnerability in Microsoft Internet Explorer may allow for remote code execution. A user would have to visit a malicious Web site or open a HTML e-mail attachment for an attack to occur.» В гугле такого добра ещё много, попробуйте заменить «CSS» на «PNG», «GIF», «JavaScript» и всякие другие умные слова :) Надеюсь, у всех стоит лицензионная винда со всеми обновлениями? ;)
Tags:
Hubs:
Total votes 157: ↑122 and ↓35+87
Comments81

Articles