Обратите внимание на первые три предложения. В статье предлагается запретить пользователю компилировать ПО самостоятельно. Я лишь поинтересовался, как обстоят дела с уязвимостями ПО в Gentoo и обновлением такого ПО без вмешательства квалифицированного айтишника.
Простой интерес. Пользовался Gentoo в качестве сервера (досталась пара таких в наследство). Думаю, может быть есть какая-то графическая утилита для критических обновлений пользовательского ПО.
Хотя конечно было бы интересно взглянуть на то, насколько программа заточена под нужды каждого клиента и какие данные берёт и где хранит каждая такая инсталляция, как реализованы футбольные и баскетбольные термины (количество подборов, передач и пр). Т.е., я боюсь, что уж очень узкая у неё специализация, взглянуть бы на конкретику для подтверждения или опровержения.
Более старый вариант (с неточным предположением о происхождении уязвимости, но аналогичными скриншотами и ID письма) был отправлен саппорту 5го августа, в день публикации в «песочницу». Пост появился в «Песочнице», похоже, 8го августа, и был мгновенно снят оттуда и перемещён в черновики. Вновь он он появился лишь сегодня, 21 августа. Так что неделя, прошу простить и засчитать это с натяжкой, выждана. Обнаружил, а когда доковырял, оставалось очень мало времени до выезда.
Парсер здешний тоже iframe вырезает, простите, в html части )
Конечно, само собой, я понимаю, что можно разместить iframe на массе сайтов, защититься от этого можно разве что токенами и проверкой рефереров, но, думаю, вы согласитесь, что оправка письма при посещении стороннего сайта по ссылке и при простом открытии письма злоумышленника — уязвимости совсем разного порядка.
А как, подскажите…
Я проверил перед отправкой текста, iframe Mail.ru вырезает. Проверено на следующем фрагменте кода (с использованием htmlMimeMail5):
<?php
require_once 'header.php';
$mail = new htmlMimeMail5();
$mail->setFrom("test user <$support_email>");
$mail->setSubject('test');
$mail->setHTMLCharset('UTF-8');
$mail->setHeadCharset('UTF-8');
$mail->setTextCharset('UTF-8');
$mail->setText('test test test not supported');
$mail->setHTML('test test test ');
$mail->send(array('test@example.com'));
Согласен. Топик я опубликовал, поскольку посчитал этот случай хорошим примером для разработчика «как делать не надо». Согласитесь, ведь это может быть неочевидно для новичка.
Может быть всё не совсем так?
Конечно, само собой, я понимаю, что можно разместить iframe на массе сайтов, защититься от этого можно разве что токенами и проверкой рефереров, но, думаю, вы согласитесь, что оправка письма при посещении стороннего сайта по ссылке и при простом открытии письма злоумышленника — уязвимости совсем разного порядка.
Я проверил перед отправкой текста, iframe Mail.ru вырезает. Проверено на следующем фрагменте кода (с использованием htmlMimeMail5):
<?php
require_once 'header.php';
$mail = new htmlMimeMail5();
$mail->setFrom("test user <$support_email>");
$mail->setSubject('test');
$mail->setHTMLCharset('UTF-8');
$mail->setHeadCharset('UTF-8');
$mail->setTextCharset('UTF-8');
$mail->setText('test test test not supported');
$mail->setHTML('test test test ');
$mail->send(array('test@example.com'));
?>
Инвайт получил 8го августа, когда уже был в горах Кавказа без связи :-)
Просьба не воспринимать это как отмазки.