Внимание, воровство cookies!

[Kenobi]

Не подскажете, он крадет только хабровский кукис или вообще все?

[konfuze]

document.cookie возвращает cookie только для страницы, с которой он был вызван — соответственно, только для хабра.

[Fenniks]

А это будет работать на всех системах ?

[nikzh]

konfuze, спасибо за заметку! Но лучше это все было сначала отправить админам, чтобы не высплыло тут еще умников.

[arestov]

старую дыру не залатали

[arestov]

надо сверху там гденибудь в тредах добавить скрипт останавливающий последующее исполнение скриптов.. или попробовать вверху к тредам написать <noscript> а ниже того коммента закрыть тэг-
</noscript>

[abba]

это для другого, это скроет все что внутри пока не отключишь javascript

[abba]

прежде чем минус ставить почитай http://www.htmlbook.ru/html/noscript.html

[abba]

ой, это про тот топик конкретно было,
тогда мой косяк, согласен

[BaBL]

а что помешает злоумышленнику начать топик с </noscript> ? Я вообще не понимаю, почему JS не фильтруется в комментах совсем. Как минимум стоило б сделать замену javascript: на что-нить вроде javascript: и то же с vb

[konfuze]

Парсер с тех пор немного пофиксили, но, как мы видим, не до конца.

[sylvio]

viva la noscript!

[konfuze]

А теперь посмотрите во что парсер превратил ваш линк )

[Power]

Вот ссылка получше (парсер — лох!) : NoScript.

[ganzer]

Перекладывай в коллективный блог.

[Midgard]

В ту же самую информационную безопасность. Тогда этот пост гарантированно появится на главной (при текущем рейтинге).

[0day]

>Рекомендуется сменить пароль.
Да достаточно перелогиниться, т.к. злоумышленник не сможет сменить пароль - для этого необходимо знать старый пароль. В общем, аккаунт не украдут, но личной информацией могут воспользоваться.

[konfuze]

Просто перелогиниться не поможет - хэш не меняется при новом логине, но пароль да, сменить не смогут.

Обычно в таких случаях советую сменить пароль, т. к. в хэшем из кук может быть md5-хэш от пароля (к хабру это не относится), а это уже один шаг к получению пароля. В теории, конечно.

[0day]

Да, верное замечание. Я думал на хабре в куках сессия. Ан нет, там хеш от пароля, скорее всего соленый md5.

[ganzer]

Будешь не зная прокачивать какого-нить виртуала с очередным PR на главную.

[anikey]

пойду поищу какой-то сайт похожий на хабр но из *.ua и безопасней, т.к. тупо каждый комент менять пароль

[CrashMax]

Тупо уходить с интересного и хорошего сайта, только из-за того что вы не внимательный, и слишком наивный и доверчивый)
Вот вам мой сказ)

[toastyboost]

Опять gojas шалит.. он уже реально запарил.

[Lohov]

[konfuze]

Нет, ваш xss не сработал.

[not_ice]

я в шоке. похоже на хабр стоит ходить через текстовый браузер ))

[bulbazaur]

Какая разница какой пароль. Он все арвно захеширован, и я думаю посолен.

[b3atb0x]

капец, гребаный хабр. Его что, совсем через задницу писали? Как можно допускать такие дырени в безопасности? накипело

[naething]

Да, это позор, пожалуй.

[ganzer]

Отпустило. Прилетело НЛО и почикало скрипт.

[bolnikh]

у нас на babyblog та же фигня вылезла. Заткнули дыру со скриптом - все ок

[homm]

Альт у картинки глянь ;)

[ganzer]

Теги глянь :)

[nfx]

и без него можно читать топики. только без аккаунта не возможно будет комментировать что-то.

[Orenlab]

У меня KIS 2009 beta сразу сказал что в том топике фишинг атака.

Вы еще не видели логов серверов сегодня (не хабра конечно, я про свой): объявился бот с юзер- агентом libwww-perl/5.805 и libwww-perl/5.65 вот тот генерит офигетельный xss, когда попробовал посмотреть что же там за урлы, каспер взбунтовался не нашутку... пришлось даже FF из его блек-листа вытаскивать.

[nfx]

как у KIS 2009 из нагрузкой на систему?..

(сори за оффтоп. просто у меня Norton 360, но я не очень сильно им доволен...)

[Orenlab]

Я думаю что вот эта статья ответит на Ваш вопрос. В KIS 2009 ресурсопотребление еще немного меньше

[diamant]

как удалось вставить скрипт? парсер же режит всё со словом script, из-за чего многие линки не работают.

[ganzer]

там хитровставленные BR-ы

[sunnybear]

как видим, не все он режет :)

[bg8s]

я надеюсь этому хабраюзеру все уже нагадили в карму? :)

[ganzer]

это бесполезно. сегдня таких зарегилось уже несколько штук, прокачали им карму и поюзали.
впринципе если сейчас грамотно использовать те куки, можно наладить продажу спама на главной хабра. только многим это будет уже неинтересно.

[bg8s]

это фигня, интересно на лепре такая дырка есть? :) можно ж озолотиться %)

[arthurgrishin]

лепры нету, %username% :-)

[NickMitin]

Стрелять-колотить, ты наверное ни разу ни одной ошибки в коде не допустил.

[dmx]

Я этот топик не смотрел, но вчера заметил такую фигню. Почитал что пишут на хабре - ушел поработать, пришел - а тут в новых топиках кол-во комментарий пишется, типа 23+16. Следовательно хабр посчитал, что я его читал уже, но я этого не делал..
Сменил пароль.

У кого-то было подобное? Это глюк с комментариями на хабре или все же жулики?

[plin2s]

[ZLoykif]

что то мне сыкотно 0_0

[plin2s]

хуясе.... я этого не писал вообще оО

[a9V]

:)

[ZLoykif]

неужто соблазн велик?) Мне конечно интересно что там по ссылке но перспектива менять после этого пароль меня не прельщает)

[konfuze]

Да, багу не пофиксили, а a9V зареган аж в 2007 году - вот и жертва вчерашнего бага.

[Sabiko]

В топике про вконтакт и оперу такая же хрень.
Я героически заминусовала его до неотображения, но это просто дисплейнан, и скрипт всё равно подгружается=(

А администрация опять спит, да?