Похоже с проверкой орфографии в этом редакторе дело обстоит не очень (в браузерах же она везде есть и такое не пропустить).
// Да об этом пишут в личку, но здесь в каждой пятой строчке опечатки, это перебор. Прогоните текст через ворд, что ли.
Рекомендую последовать собственному совету и поискать в стандарте 2001 года, что-нибудь про модель безопасности. После чего станет ясно почему все браузеры следуют более свежим документам (и здравому смыслу). Что будет в противном случае мы видели совсем недавно.
dev.w3.org/SVG/modules/integration/SVGIntegration.html#referencing_modes
«2.3 Animated Mode
This is the referencing mode that must be supported for the SVG ‘image’ element and is recommended to apply to the HTML ‘img’ element and for use as a Widget icon.
…
script execution no
interactivity no»
> Правильно бы было выполнять скрипты в IMG и в CSS background с теми же привелегиями, что и скрипты в IFRAME
Неправильно. Это позволило бы картинке «редиректить куда подальше», как это можно сделать в ифрейме с top.location.href="http://ya.ru".
> При открытии svg в отдельном окне это работает во всех 3-х браузерах, но при встраивании — ни в одном. Возможно специалисты JS смогут это исправить…
Для встраивания через img, это явно запрещено стандартом. При встраивании через object/embed/iframe ограничения мягче.
Никому ведь не нужно, чтобы простая картинка могла воровать куки или редиректить куда подальше.
Там было: What do you expect to happen?
Quick fix.
What actually happens?
You are slowpokes.
Что я туда должен был писать, когда на оффсайте уже почти месяц предлагается уязвимая версия? Молодцы делайте так и дальше?
Да и вообще, что осмысленного можно в данном случае написать в этих полях.
У вас же здесь вроде бы был официальный бложек.
Но вопрос фактически о другом, об отношении к своим пользователям. Либо вы стараетесь обезопасить их насколько возможно, либо заб[иы]ваете. Менеджер по развитию вполне может на него ответить.
Повторю пожалуй, свой вопрос с рутрекера. Хотелось бы более-менее официального ответа:
____
Теперь неплохо бы услышать, будет ли закрыто xss в старых версиях. Обновлением browser.js, (если это возможно решить таким образом, разумеется).
Хотя if(location.protocol == 'data:')location.reload = function(){}
кажется работает.
Из упомянутого на rdot остались мини баги со скрытием реферрера с помощью ссылки вида data:application/internet-shortcut,[INTERNETSHORTCUT]%0D%0AURL=http://ya.ru/ и то, что data:-урлы в опере наследуют домен.
Опасности они видимо, не представляют.
Avast Win32:Malware-gen
DrWeb BackDoor.Andromeda.22
Kaspersky Trojan.Win32.Buzus.kyzn
McAfee Generic.dx!b2ep
Symantec Suspicious.Emit
Это как раз вполне реально и делается спецпрошивкой контроллера флэшки. См. например www.flashboot.ru/index.php?name=News&op=article&sid=29
Похоже с проверкой орфографии в этом редакторе дело обстоит не очень (в браузерах же она везде есть и такое не пропустить).
// Да об этом пишут в личку, но здесь в каждой пятой строчке опечатки, это перебор. Прогоните текст через ворд, что ли.
Можно прокомментировать?
dev.w3.org/SVG/modules/integration/SVGIntegration.html#referencing_modes
«2.3 Animated Mode
This is the referencing mode that must be supported for the SVG ‘image’ element and is recommended to apply to the HTML ‘img’ element and for use as a Widget icon.
…
script execution no
interactivity no»
> Правильно бы было выполнять скрипты в IMG и в CSS background с теми же привелегиями, что и скрипты в IFRAME
Неправильно. Это позволило бы картинке «редиректить куда подальше», как это можно сделать в ифрейме с
top.location.href="http://ya.ru".Для встраивания через img, это явно запрещено стандартом. При встраивании через object/embed/iframe ограничения мягче.
Никому ведь не нужно, чтобы простая картинка могла воровать куки или редиректить куда подальше.
What do you expect to happen? Quick fix. What actually happens? You are slowpokes.Что я туда должен был писать, когда на оффсайте уже почти месяц предлагается уязвимая версия? Молодцы делайте так и дальше?
Да и вообще, что осмысленного можно в данном случае написать в этих полях.
Но вопрос фактически о другом, об отношении к своим пользователям. Либо вы стараетесь обезопасить их насколько возможно, либо заб[иы]ваете. Менеджер по развитию вполне может на него ответить.
____
Теперь неплохо бы услышать, будет ли закрыто xss в старых версиях. Обновлением browser.js, (если это возможно решить таким образом, разумеется).
Хотя
if(location.protocol == 'data:')location.reload = function(){}кажется работает.
В качестве примера, на github.com/operasoftware/browserjs/tree/master/desktop скажем, browserjs-11.62.js был обновлён позавчера.
Вот и ответ. И ещё один способ обхода уязвимости.
Потестил ещё влияние функции отключения картинок и как-то оно спорадически, то работает, то не работает…
Опасности они видимо, не представляют.