Тут дело в том, что активную XSS в интернет-кошелек протолкнуть будет трудно. А пассивную XSS — проще (как уже показано в предыдущем топике о Яндекс.Деньгах того же автора). Таким образом, использование отдельного браузера для строго определенного типа сайтов сможет уберечь от пассивных XSS, так как зараженный сайт и уязвимый сайт будут работать в разных браузерах (и, соответственно, cookie уязвимого сайта не будут доступны для зараженного). Есть, конечно, и такой вариант: пока открыта и еще не закрыта сессия на сайт с критичными данными, не открывать и не держать открытым никакие другие сайты. Однако это не так безопасно, так как у многих людей в браузере навешаны JS-расширения, которым тоже не следует слишком доверять :)
Спасибо всем отписавшимся. Теперь понял: очень серьезная уязвимость. Видимо, для высокой безопасности сайтов с критичными данными и возможностями (регистрационная почта, банки) нужно использовать отдельную копию браузера (которая будет использоваться только для таких сайтов). От JS отказываться не хочется.
Не очень в этом всём разбираюсь, так что вот такой вопрос (не только к автору поста):
Как опасна была такая XSS с точки зрения «exploitable»? Насколько я понял, скрипт мог запуститься, только если жертва зарегистрируется в определенном сервисе, используя заранее зарегистрированный злоумышленником аккаунт в mail.ru. То есть данная XSS должна была быть приправлена нехилой соц-инженерией?
P.S. (Теперь к автору). Надеюсь, что фильтрация ввода у них не только на уровне JS идет?
Не соглашусь. Выбирать из 100500 фоток единственную нормальную — это тоже труд, который нехило дисциплинирует снимать лучше. В конце концов, количество перерастает в качество. Если человеку фотография (в широком смысле) интересна, то научиться может хоть на пленке, хоть на цифре. Просто теперь порог вхождения снизился, и возникло ощущение, что фотографы скатились в УГ, но это не так.
Если только сам стандарт не впитает подобную функциональность. Например, где-то, вроде, был черновик для переменных в CSS. И еще много всего интересного предлагалось в разное время.
Тому, кто уже слышал о LESS не понаслышке, мой каммент может показаться толстым. Но я пишу не для них, а для тех, кто знакомится с ним через эту статью. Так вот, предупреждаю, если вы не будете предварительно «компилировать» свой LESS-код перед окончательным внедрением в сайт (то есть он будет «компилироваться» клиентским браузером), то при отключении пользователем в бразуере JavaScript-а, отвалится и ваш CSS (в невалидной части).
Сначала вышестоящий каммент был прилично в минусе, так что я решил подождать аргументированных претензий. Но теперь, видимо, не дождусь. Но всё равно попробую объяснить каммент тем, кто недопонял или недосогласился.
Итак, автор оригинала статьи верно отметил, что длинный выпадающий список в 200 элементов — не торжество юзабилити. Тем не менее, страну можно определить по IP-адресу (почти безошибочно). Если же данные об IP устарели или пользователь собирается что-то заказывать с доставкой в другую страну, то он всегда может изменить страну в выпадающем списке (то есть список никуда не исчезает, а просто имеет в качестве умолчального значения автоопределившуюся страну). Таких людей окажется мало, да и прокрутить до нужного места не так уж тяжело. А в мобильном телефоне (с емкостным сенсорным экраном) это сделать даже легче, чем на десктопе. Так что это всё же маленькая проблема. И автор поста решил ее таким образом, что появились проблемы большие (хотя в правильных условиях работает отлично, согласен). Например, в одном из указанных тестов страну нельзя было ввести в поле вообще.
На мой взгляд, идею о выпадающих списках с поисковой строкой и коррекцией ошибок неплохо бы протолкнуть в веб-стандарты. Это могло бы решить проблемы с совметимостью. А пока, как мне кажется, следует отключить расширенный селектор для мобильных устройств.
Ну в первый раз говорили про отдельную ячейку. А во второй раз уже про целый жесткий диск. Если всё так, то создание целого жесткого диска с такой же плотностью, очевидно, намного сложнее, чем отдельный бит памяти.
Красота. Была проблема маленькая — сделали большую :)
А теперь посмотрим, как этот JS-тяжеловес будет работать в сложных боевых условиях?
1) JS отключен — подставился обычный выпадающий список — тест пройден.
2) Старый IE (тестировал через IETester, так что есть некоторая вероятность неправильного результата) — IE6 и IE7 показали обычный выпадающий список — не страшно. В IE8 после выпадания нужной подсказкой первой строкой нажатие «Enter» приводит к очищению поля. Если попрыгать сначала стрелками по подсказкам, то поле не очистится, но и выбор не подтвердится. Выбор подтверждается только мышью — плохо.
3) Используется мобильный прокси-браузер (на примере Opera Mini) — после ввода страница сразу же обновляется и значение затирается, то есть вести что-то нельзя вообще — провал.
4) Используется полноценный мобильный браузер — подсказки слишком медленно выползают, успеваешь полностью ввести «Russia» и начать делать что-то еще. В Opera Mobile после тормозов и подбрасываний обратно к форме всё-таки подправился ввод до «Russian Federation». В нативном Вебките для Андроида после всего это почему-то подставилось «China» — провал.
Ну OLED вполне себе может быть прозрачным. А вот то, как они добились черного цвета — загадка. Видимо, там дополнительный слой чего-то, что может становиться полностью прозрачным и полностью непрозрачно-черным (причем очень быстро, и каждый пиксель должен уметь это самостоятельно).
Как опасна была такая XSS с точки зрения «exploitable»? Насколько я понял, скрипт мог запуститься, только если жертва зарегистрируется в определенном сервисе, используя заранее зарегистрированный злоумышленником аккаунт в mail.ru. То есть данная XSS должна была быть приправлена нехилой соц-инженерией?
P.S. (Теперь к автору). Надеюсь, что фильтрация ввода у них не только на уровне JS идет?
Ладно, достаточно.[/zаnuda]
Опечатка или так задумано? :)
Итак, автор оригинала статьи верно отметил, что длинный выпадающий список в 200 элементов — не торжество юзабилити. Тем не менее, страну можно определить по IP-адресу (почти безошибочно). Если же данные об IP устарели или пользователь собирается что-то заказывать с доставкой в другую страну, то он всегда может изменить страну в выпадающем списке (то есть список никуда не исчезает, а просто имеет в качестве умолчального значения автоопределившуюся страну). Таких людей окажется мало, да и прокрутить до нужного места не так уж тяжело. А в мобильном телефоне (с емкостным сенсорным экраном) это сделать даже легче, чем на десктопе. Так что это всё же маленькая проблема. И автор поста решил ее таким образом, что появились проблемы большие (хотя в правильных условиях работает отлично, согласен). Например, в одном из указанных тестов страну нельзя было ввести в поле вообще.
На мой взгляд, идею о выпадающих списках с поисковой строкой и коррекцией ошибок неплохо бы протолкнуть в веб-стандарты. Это могло бы решить проблемы с совметимостью. А пока, как мне кажется, следует отключить расширенный селектор для мобильных устройств.
R — видимо из-за слова «республика» в полном наименовании Китая.
А теперь посмотрим, как этот JS-тяжеловес будет работать в сложных боевых условиях?
1) JS отключен — подставился обычный выпадающий список — тест пройден.
2) Старый IE (тестировал через IETester, так что есть некоторая вероятность неправильного результата) — IE6 и IE7 показали обычный выпадающий список — не страшно. В IE8 после выпадания нужной подсказкой первой строкой нажатие «Enter» приводит к очищению поля. Если попрыгать сначала стрелками по подсказкам, то поле не очистится, но и выбор не подтвердится. Выбор подтверждается только мышью — плохо.
3) Используется мобильный прокси-браузер (на примере Opera Mini) — после ввода страница сразу же обновляется и значение затирается, то есть вести что-то нельзя вообще — провал.
4) Используется полноценный мобильный браузер — подсказки слишком медленно выползают, успеваешь полностью ввести «Russia» и начать делать что-то еще. В Opera Mobile после тормозов и подбрасываний обратно к форме всё-таки подправился ввод до «Russian Federation». В нативном Вебките для Андроида после всего это почему-то подставилось «China» — провал.