Недавно в русскоязычной части ЖЖ тут и там торжественно звучал гимн Российской Федерации, что, однако, не было призывом «на минуту встать» к патриотам страны. Организаторы затеи — а имела место именно затея — ожидали реакции непосредственно от администраторов Livejournal.com, и реакция эта не замедлила появиться, правда, не в желаемой полноте.
Началось же с того, что одним внимательным пользователем сервиса был замечен баг, открывающий путь некоторым нежелательным вещам. Другие пользователи ЖЖ, инициативные, решили привлечь внимание к багу, предприняв акцию, которая была определена как флешмоб, что, возможно, не самый подходящий термин, поскольку люди имели цели вполне конкретные, и, что важно, благие.
Участники акции с подачи блоггера linker разместили в ЖЖ-постингах и комментариях код невидимого — 1×1 пиксель — flash-ролика с гимном. Судя по объяснениям linker, возможность подобного действия — суть баг, позволяющий взламывать журналы пользователей, загрузивших «флешку».
За более подробным комментарием «Хабрахабр» обратился к ЖЖ-пользователю zmey2, обнаружившему «дыру» в системе еще месяц назад.
Блоггер пояснил, что проигрывание гимна — «это только часть возможных уязвимостей, связанных с тем, что YouTube разрешает указывать в параметре адрес ресурса для картинки-заглушки, который может быть не только картинкой, но и флеш-роликом».
«Есть и другие потенциальные бреши, — говорит zmey2. — В частности, манипуляция параметром autoplay и BASE_YT_URL. С помощью autoplay можно вставлять в пост ролик, который будет грузиться без разрешения того, кто его просматривает. Может быть очень неприятно, если ролик будет вставлен, скажем, в популярное комьюнити — люди увидят и услышат то, чего, возможно, не очень хотят, а также заплатят за трафик».
Другой аспект уязвимости — в возможной подмене базового URL, который используется для ссылок в элементах управления видеороликом. «Щелкаете вы, скажем, на кнопку play, а попадаете на такую страницу.
По словам zmey2, дыр в ЖЖ немного, но они есть, что связано с расширением функциональности ЖЖ. Превентивные меры уместны — администрации сервиса стоит совершенствовать систему сообщения об ошибках, внимательнее относиться к баг-репортам. Пока — баг «с гимном», к примеру, устранен лишь косметически.
Началось же с того, что одним внимательным пользователем сервиса был замечен баг, открывающий путь некоторым нежелательным вещам. Другие пользователи ЖЖ, инициативные, решили привлечь внимание к багу, предприняв акцию, которая была определена как флешмоб, что, возможно, не самый подходящий термин, поскольку люди имели цели вполне конкретные, и, что важно, благие.
Участники акции с подачи блоггера linker разместили в ЖЖ-постингах и комментариях код невидимого — 1×1 пиксель — flash-ролика с гимном. Судя по объяснениям linker, возможность подобного действия — суть баг, позволяющий взламывать журналы пользователей, загрузивших «флешку».
За более подробным комментарием «Хабрахабр» обратился к ЖЖ-пользователю zmey2, обнаружившему «дыру» в системе еще месяц назад.
Блоггер пояснил, что проигрывание гимна — «это только часть возможных уязвимостей, связанных с тем, что YouTube разрешает указывать в параметре адрес ресурса для картинки-заглушки, который может быть не только картинкой, но и флеш-роликом».
«Есть и другие потенциальные бреши, — говорит zmey2. — В частности, манипуляция параметром autoplay и BASE_YT_URL. С помощью autoplay можно вставлять в пост ролик, который будет грузиться без разрешения того, кто его просматривает. Может быть очень неприятно, если ролик будет вставлен, скажем, в популярное комьюнити — люди увидят и услышат то, чего, возможно, не очень хотят, а также заплатят за трафик».
Другой аспект уязвимости — в возможной подмене базового URL, который используется для ссылок в элементах управления видеороликом. «Щелкаете вы, скажем, на кнопку play, а попадаете на такую страницу.
По словам zmey2, дыр в ЖЖ немного, но они есть, что связано с расширением функциональности ЖЖ. Превентивные меры уместны — администрации сервиса стоит совершенствовать систему сообщения об ошибках, внимательнее относиться к баг-репортам. Пока — баг «с гимном», к примеру, устранен лишь косметически.
