Comments 81
Самое время сменить пароли, если переходили по «инфицированным» видео и воздержаться от просмотра видео на страницах youtube.com пока уязвимость не пофиксили! Что самое страшное: в страницу вполне можно внедрить (и внедряют) Javascript код с каким-нибудь cookie-сниффером. Вот так вот, одна ошибка в коде огромного портала может привести к тотальной угрозе для всех его пользователей.
У многих кстати это часть единого аккаунта гугла
Почту заводят не для того чтобы там спам держать, а для каких-то личных вещей. Личное — важно.
да не кормите тролля
А нефиг почту на SaaS'ах держать ;)
товарищ приверженец мэйлру?
Вот если бы это предупреждение в посте перед ссылками поставили, цены бы не было =)
Насколько я знаю, авторизация у Ютуба, как и у других сервисов Гугла, проходит только на https://google.com/account, и автоиризационные куки с ютуба не упрешь, а сессионная кука, наверно, быстро сдохнет, и теоретически мождет быть привязана к Ip адресу.
Там стоит HttpOnly кука, так что пофиг.
а где же ссылка на нить обсуждения? ;)
PS в массы уязвимости запустили на 4chan
PS в массы уязвимости запустили на 4chan
Ужас.
Наткнулся на это 5 минут назад.
Если iframe, то это жестко.
Ну, спереть пароли-куки-пр. через iframe нельзя.
Троянов часто через фреймы раздают.
Есть очень много партнерок, которые покупают такой трафик.
Думаю на ютубе трафика много :)
Есть очень много партнерок, которые покупают такой трафик.
Думаю на ютубе трафика много :)
А если у меня линукс? Я не с подковыркой спрашиваю, просто интересно, чисто теоретически. Куки то оно понятно, а вот трояны пока что не для всех ведь делают?
Линукс не важен.
Ой да ладно вам :)
Ещё никто не отменял сплоиты под программмы для линукса. Тут дело даже не в ОС, а в том, какой софт вы используйте.
Если не с подковыркой, то я с удовольствием отвечаю на Ваш вопрос.
Ботнеты можно на сотовых телефонах, и на тостерах и холодильниках создать, что уж говорить про устройства где установлена никсоподобная ОС.
Руткиты существуют под многие ОС. Вполне возможно, с ростом популярности Убунты (это для примера) появятся с публичных связках сплоиты для получения рута, а там уже и троян не плохо будет себя чувствовать.
Всё дело времени :)
Ещё никто не отменял сплоиты под программмы для линукса. Тут дело даже не в ОС, а в том, какой софт вы используйте.
Если не с подковыркой, то я с удовольствием отвечаю на Ваш вопрос.
Ботнеты можно на сотовых телефонах, и на тостерах и холодильниках создать, что уж говорить про устройства где установлена никсоподобная ОС.
Руткиты существуют под многие ОС. Вполне возможно, с ростом популярности Убунты (это для примера) появятся с публичных связках сплоиты для получения рута, а там уже и троян не плохо будет себя чувствовать.
Всё дело времени :)
YouTube status:
[ ] Told
[x] FUCKING TOLD
[ ] Told
[x] FUCKING TOLD
Люди ошибаются.
«Комментарии к этому видео скрыты в соответствии с настройками безопасного режима. Показать скрытые комментарии „
Оперативно видимо работают.
Оперативно видимо работают.
пофиксили
ютубовци оперативный народ!
да на многих крупных проектах есть XSS уязвимости.
Для примера, не очень опасный xss, Вконтакте — загрузка аудиофайлов.
Если в свойствах мп3 в поле «Исполнитель» вписать '+alert+' и загрузить — выскочит алерт.
Для примера, не очень опасный xss, Вконтакте — загрузка аудиофайлов.
Если в свойствах мп3 в поле «Исполнитель» вписать '+alert+' и загрузить — выскочит алерт.
Может кто-нибудь объяснить, почему это возможно? Разве YouTube позволяет вставлять в комментарии какие-либо теги (bb или html)? Если нет, то почему они просто не заменяет все html символы на спец. коды?
гугл его знает.
Видимо вся соль в IF_HTML_FUNCTION?
Каким то образом ломается вырезалка html
Каким то образом ломается вырезалка html
Если заменять знаки <> на их HTML сущности, то ничего вырезать не надо. Не понимаю, почему зачастую предпочитают вырезать теги.
чтобы оставить чистый текст, очевидно.
Чего за минуса? :)
Это же очевиндо зачем вырезают html-сущности в тех местах, где их нельзя использовать.
Если человек напишет какой нибудь комментарий и использует в нем всякие и еще 100500 тегов, обычному человеку такой текст прочитать в мешанине тегов если просто заменить < и > на < > будет сложно.
Если же вырезать html-сущености совсем то останется прсто чистый неформатированный текст, который будет удобен для чтения
Это же очевиндо зачем вырезают html-сущности в тех местах, где их нельзя использовать.
Если человек напишет какой нибудь комментарий и использует в нем всякие и еще 100500 тегов, обычному человеку такой текст прочитать в мешанине тегов если просто заменить < и > на < > будет сложно.
Если же вырезать html-сущености совсем то останется прсто чистый неформатированный текст, который будет удобен для чтения
Посмотрим со стороны пользователя:
Я хочу видеть свое сообщение так, как я его написал. Почему мне не дают писать сообщения так, как я хочу? Безопасность безопасностью, а палки в колеса пользователю вставлять не надо.
Если в комментарии стопицот тегов, то зачем его читать? Если бы автор сообщения хотел донести свою мысль, он бы не стал «обфусцировать» свой коммент.
P.S. Минусовал не я.
Я хочу видеть свое сообщение так, как я его написал. Почему мне не дают писать сообщения так, как я хочу? Безопасность безопасностью, а палки в колеса пользователю вставлять не надо.
Если в комментарии стопицот тегов, то зачем его читать? Если бы автор сообщения хотел донести свою мысль, он бы не стал «обфусцировать» свой коммент.
P.S. Минусовал не я.
А я бы не палил эту тему в паблик а использовал ее по максимуму для выжима бабла этой вкусной темы. И к черту этику и всякие бла-бла-бла о морали.
А потом удивляемся =)
откуда знаете, что по максимуму уже не выжали из этой вкусной темы? )
или, возможно, эта вкусная тема лишь отвлекающий маневр от какой-нибудь другое, еще более вкусной темы
или, возможно, эта вкусная тема лишь отвлекающий маневр от какой-нибудь другое, еще более вкусной темы
Все равно бы заметили, если делать это в промышленных масштабах. На дваче уже и так за пару часов много чего успели попробовать — даже дорвейщики подключались и похоже не безуспешно для себя… А в целом легион постарался на славу )) img408.imageshack.us/img408/1415/1278252932293.png
Почитайте Кысь.
Вы считаете, такая уязвимость у такого сервиса может продержаться долго, даже если её не палить? Точнее, если её «пытаться» не палить?
Создатели FUTURAMA явно что-то знают.
профиксили уже. вырезают автоматически тег со словом script
как выглядела проблема вживую можно посмотреть здесь — там видео есть
как выглядела проблема вживую можно посмотреть здесь — там видео есть
а взломали то с 4chan.org
images.4chan.org/b/src/1278259281256.jpg
images.4chan.org/b/src/1278259281256.jpg
Однако, гугл лоханулся…
Пофиксили уже =(
А я хотел пакмана пустить побегать =(
А я хотел пакмана пустить побегать =(
Юзаю Noscript, потому не заметил. Кстати, во избежания таких случаев могу посоветовать: code.google.com/p/owaspantisamy
Возможно и неследие от создателей сервиса.
Sign up to leave a comment.
Уязвимость комментариев на Youtube