• Почему Apple на самом деле не любит Flash, и при чём тут Android

      В последнее время я наблюдаю массу дискуссий о противостоянии Apple и Adobe. И в основном они сводятся к тому, что Apple — молодцы, а Adobe и Flash — корень всех бед…

      Мне кажется, что большинство обсуждающих просто не видят леса за отдельными деревьями. Их внимание так отвлечено на ругань между руководствами больших и известных корпораций, что заметить основную тенденцию не особо получается.
      Читать дальше →
    • Возвращение «Чёрного Властелина»?

        Вот что бывает, если не выполнять очистку HTML и экранизацию спецсимволов.

        Разработчикам хабра — позор! Сайт работает не один год, но до сих пор нормально не сделали безопасный вывод контента! Ни экранизации символов, ни очистки HTML'а от «вредных примесей»!

        Хорошо ещё, что бесятся находятся такие ребята, как Satana, привлекая внимание к проблеме. А ведь всё может быть серьёзнее. Не удивлюсь, если скоро выяснится, что некоторые ушлые парни уже давно втихаря эксплуатируют разные уязвимости хабра на широкой аудитории. Например, строят бот-сети из нас с вами.

        Извините за резкость, но это — неуважение посетителей. Так можно и доверие к сайту потерять.

        P.S. Оправдываться тем, что «скоро выйдет новая версия» — глупо. Представьте, если бы Micrsoft прекратил выпускать критические обновления к Windows XP, мотивируя это тем, что «скоро выйдет Vista»?! Может и выйдет, но всякие «кул хацкеры» эксплуатируют хабр прямо здесь и прямо сейчас. Вы уверены, что ваш браузер не имеет ни одной уязвимости? Я — нет. Хотя и пользуюсь последним Firefox в убунте и ставлю все обновления.

        Upd: Всем, кто считает, что про бот-сети я сгущаю краски, советую набрать в гугле фразу «Internet Explorer CSS vulnerable». Вот, например, уязвимость (MS07-033) Microsoft CSS Tag Memory Corruption Vulnerability от 12.06.2007, с замечательным описанием «A vulnerability in Microsoft Internet Explorer may allow for remote code execution. A user would have to visit a malicious Web site or open a HTML e-mail attachment for an attack to occur.» В гугле такого добра ещё много, попробуйте заменить «CSS» на «PNG», «GIF», «JavaScript» и всякие другие умные слова :) Надеюсь, у всех стоит лицензионная винда со всеми обновлениями? ;)