Не подтверждаю — при вводе урла их топика Chrome 17.0.963.83 m / Win7 x64 падает, при переходе на freemium.narod2.ru не падает.
Оно и понятно, chrome:// схема не доступна с http://
Я думаю опера — это пока неуловимый джо.
Пока её доля в мировом трафике мизерна, не будет целенаправленного брейншторма под уязвимости, если выбьется в топы, получит свой процент бесплатного аудита с вытекающими.
Судя по cve, имела место быть уязвимость типа xss в hcp:// протоколе в ie7, только через механизм плагинов хрома. Такие уязвимости нарушают зоны безопасности, и позволяют выполнять js в доверенной зоне. Песочницей такие вещи особо не проконтролируешь, вот и получается sandbox bypass
<quote> антивирус нужен как раз для того, чтобы его поставить и перестать беспокоится, что кто-то что-то может на Вашем компе скомуниздить или подсмотреть </quote>
ЛК даёт гарантии того, что с установкой продукта с моего мака через drive-by-download(как пример) не смогут ничего скомуниздить или подсмотреть, или вы это для пущей важности написали?
Сами ж понимаете, что установка любого антивируса не даёт никаких гарантий.
Угроза есть.
100% решения от угрозы нету, тем паче маки сейчас весьма лакомый кусок рынка для плохих парней, и отсутствие большого количества антивирусных решений под мак позволяют им потратить больше времени для поиска «обхода» существующих решений.
JS и выполняет этот байткод в браузере.
На этом принципе куча браузерных эмуляторов построено вроде NES.
shambho предлагает вместо трансляции производить эмуляцию.
Капчи в основном выдаются для анонимного пользователя ( аноним -> капча -> пользователь), для отделения человека от бота.
В случае с персонализированной капчей получается уже верифицированного пользователя вы собираетесь заново гонять через капча тест?
Представим что это будет бот, который зарегистрировался, ввел данные в профиль и при попытке отправить сообщение в системе вы ему выдали «персонализированную» капчу… Не вижу тот проблемы обхода, т.к. эти самые «персональные» данные вы получили от этого бота.
Капча же в топике вообще не подходит для использования — боту нет разницы, 1 раз или 100 пройти регистрацию(в отличие от человека), и если ресурс «ценный» для ботмастера, то бот и 100 раз дернет капчу и в итоге обойдет защиту атакой «в лоб».
Золотое правило — никогда не доверять данным, пришедшим от пользователя/внешних источников.
Мейл.ру не фильтрует данные пользователя — проёб
Сервисы доверяют данным Мейл.ру — проёб
Ну допустим XSS червяк в случае с хранимой xss на некой блогоплотформе.
Схема работы — автор червя запускает его в своем блоге, все, кто открыли его блог, автоматически запостили в свой блог тот же самый код.
Червь распостраняется по всей платформе, парализуя работу, либо перенаправляя пользователей на другой сайт(как вариант с эксплоитами), и в дополнение похищая персональные данные из профилей (фио, емейл, телефон) и отправляет на сторонний сайт.
Оно и понятно, chrome:// схема не доступна с http://
Пока её доля в мировом трафике мизерна, не будет целенаправленного брейншторма под уязвимости, если выбьется в топы, получит свой процент бесплатного аудита с вытекающими.
антивирус нужен как раз для того, чтобы его поставить и перестать беспокоится, что кто-то что-то может на Вашем компе скомуниздить или подсмотреть
</quote>
ЛК даёт гарантии того, что с установкой продукта с моего мака через drive-by-download(как пример) не смогут ничего скомуниздить или подсмотреть, или вы это для пущей важности написали?
Сами ж понимаете, что установка любого антивируса не даёт никаких гарантий.
Угроза есть.
100% решения от угрозы нету, тем паче маки сейчас весьма лакомый кусок рынка для плохих парней, и отсутствие большого количества антивирусных решений под мак позволяют им потратить больше времени для поиска «обхода» существующих решений.
На этом принципе куча браузерных эмуляторов построено вроде NES.
shambho предлагает вместо трансляции производить эмуляцию.
В случае с персонализированной капчей получается уже верифицированного пользователя вы собираетесь заново гонять через капча тест?
Представим что это будет бот, который зарегистрировался, ввел данные в профиль и при попытке отправить сообщение в системе вы ему выдали «персонализированную» капчу… Не вижу тот проблемы обхода, т.к. эти самые «персональные» данные вы получили от этого бота.
Капча же в топике вообще не подходит для использования — боту нет разницы, 1 раз или 100 пройти регистрацию(в отличие от человека), и если ресурс «ценный» для ботмастера, то бот и 100 раз дернет капчу и в итоге обойдет защиту атакой «в лоб».
Мейл.ру не фильтрует данные пользователя — проёб
Сервисы доверяют данным Мейл.ру — проёб
Схема работы — автор червя запускает его в своем блоге, все, кто открыли его блог, автоматически запостили в свой блог тот же самый код.
Червь распостраняется по всей платформе, парализуя работу, либо перенаправляя пользователей на другой сайт(как вариант с эксплоитами), и в дополнение похищая персональные данные из профилей (фио, емейл, телефон) и отправляет на сторонний сайт.
Проверьте семпл на том же авасте на тестовой машине, результат может отличаться.
Берем первую попавшуюся тему — otvet.mail.ru/question/598824
Грепаем на <span id="online:
получаем:
[0] => vena1408@bk.ru
[1] => alesenok@mail.ru
[2] => olga_buzova@list.ru
[3] => usr-7145801a1c45b4e2840fe358a665bb34@nobody.mail.ru
[4] => usr-2e21e36d35a7ff50f0e68fe1ee33aad5@nobody.mail.ru
[5] => usr-a8c1bb6f07938b0020a02cf346ebb9e6@nobody.mail.ru
[6] => notichka@mail.ru
[7] => m-3-a-i-a@mail.ru
[8] => usr-7460bfe1590febfa229dbbf05df7a03a@nobody.mail.ru
[9] => m-radio71-3@mail.ru