Pull to refresh

Comments 64

Не подскажете, он крадет только хабровский кукис или вообще все?
UFO just landed and posted this here
document.cookie возвращает cookie только для страницы, с которой он был вызван — соответственно, только для хабра.
А это будет работать на всех системах ?
UFO just landed and posted this here
konfuze, спасибо за заметку! Но лучше это все было сначала отправить админам, чтобы не высплыло тут еще умников.
надо сверху там гденибудь в тредах добавить скрипт останавливающий последующее исполнение скриптов.. или попробовать вверху к тредам написать <noscript> а ниже того коммента закрыть тэг-
</noscript>
это для другого, это скроет все что внутри пока не отключишь javascript
прежде чем минус ставить почитай http://www.htmlbook.ru/html/noscript.html
ой, это про тот топик конкретно было,
тогда мой косяк, согласен
а что помешает злоумышленнику начать топик с </noscript> ? Я вообще не понимаю, почему JS не фильтруется в комментах совсем. Как минимум стоило б сделать замену javascript: на что-нить вроде javascript: и то же с vb
Парсер с тех пор немного пофиксили, но, как мы видим, не до конца.
А теперь посмотрите во что парсер превратил ваш линк )
Вот ссылка получше (парсер — лох!) : NoScript.
Перекладывай в коллективный блог.
В ту же самую информационную безопасность. Тогда этот пост гарантированно появится на главной (при текущем рейтинге).
>Рекомендуется сменить пароль.
Да достаточно перелогиниться, т.к. злоумышленник не сможет сменить пароль - для этого необходимо знать старый пароль. В общем, аккаунт не украдут, но личной информацией могут воспользоваться.
Просто перелогиниться не поможет - хэш не меняется при новом логине, но пароль да, сменить не смогут.

Обычно в таких случаях советую сменить пароль, т. к. в хэшем из кук может быть md5-хэш от пароля (к хабру это не относится), а это уже один шаг к получению пароля. В теории, конечно.
Да, верное замечание. Я думал на хабре в куках сессия. Ан нет, там хеш от пароля, скорее всего соленый md5.
Будешь не зная прокачивать какого-нить виртуала с очередным PR на главную.
пойду поищу какой-то сайт похожий на хабр но из *.ua и безопасней, т.к. тупо каждый комент менять пароль
Тупо уходить с интересного и хорошего сайта, только из-за того что вы не внимательный, и слишком наивный и доверчивый)
Вот вам мой сказ)
UFO just landed and posted this here
Нет, ваш xss не сработал.
я в шоке. похоже на хабр стоит ходить через текстовый браузер ))
UFO just landed and posted this here
Какая разница какой пароль. Он все арвно захеширован, и я думаю посолен.
капец, гребаный хабр. Его что, совсем через задницу писали? Как можно допускать такие дырени в безопасности? накипело
Отпустило. Прилетело НЛО и почикало скрипт.
у нас на babyblog та же фигня вылезла. Заткнули дыру со скриптом - все ок
UFO just landed and posted this here
Альт у картинки глянь ;)
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
и без него можно читать топики. только без аккаунта не возможно будет комментировать что-то.
У меня KIS 2009 beta сразу сказал что в том топике фишинг атака.

Вы еще не видели логов серверов сегодня (не хабра конечно, я про свой): объявился бот с юзер- агентом libwww-perl/5.805 и libwww-perl/5.65 вот тот генерит офигетельный xss, когда попробовал посмотреть что же там за урлы, каспер взбунтовался не нашутку... пришлось даже FF из его блек-листа вытаскивать.
как у KIS 2009 из нагрузкой на систему?..

(сори за оффтоп. просто у меня Norton 360, но я не очень сильно им доволен...)
Я думаю что вот эта статья ответит на Ваш вопрос. В KIS 2009 ресурсопотребление еще немного меньше
как удалось вставить скрипт? парсер же режит всё со словом script, из-за чего многие линки не работают.
там хитровставленные BR-ы
как видим, не все он режет :)
я надеюсь этому хабраюзеру все уже нагадили в карму? :)
это бесполезно. сегдня таких зарегилось уже несколько штук, прокачали им карму и поюзали.
впринципе если сейчас грамотно использовать те куки, можно наладить продажу спама на главной хабра. только многим это будет уже неинтересно.
это фигня, интересно на лепре такая дырка есть? :) можно ж озолотиться %)
UFO just landed and posted this here
Стрелять-колотить, ты наверное ни разу ни одной ошибки в коде не допустил.
Я этот топик не смотрел, но вчера заметил такую фигню. Почитал что пишут на хабре - ушел поработать, пришел - а тут в новых топиках кол-во комментарий пишется, типа 23+16. Следовательно хабр посчитал, что я его читал уже, но я этого не делал..
Сменил пароль.

У кого-то было подобное? Это глюк с комментариями на хабре или все же жулики?
хуясе.... я этого не писал вообще оО
UFO just landed and posted this here
неужто соблазн велик?) Мне конечно интересно что там по ссылке но перспектива менять после этого пароль меня не прельщает)
UFO just landed and posted this here
Да, багу не пофиксили, а a9V зареган аж в 2007 году - вот и жертва вчерашнего бага.
В топике про вконтакт и оперу такая же хрень.
Я героически заминусовала его до неотображения, но это просто дисплейнан, и скрипт всё равно подгружается=(

А администрация опять спит, да?
Sign up to leave a comment.

Articles