Людей, которые удивлялись тому, что я сижу на Опере — я снисходительно считал недалекими, непосвященными. Я даже своим знакомым ставил хром, потому что считал их людьми недостойными Оперы. Опера была не просто браузером, это была философия. Прощай, Опера. С тобой было круто!
Очень хороший сервис, как раз понадобилось внедрить нечто подобное. Подскажите, а можно опцию для скрытия текстового поля SIP адреса в случае кнопки «звонок с сайта»?
Я пытался исправить баг через userjs (нет среды выполнения), через расширение в режиме dev mode (вроде получается перекинуть location = 'opera:about' до момента выполнения скрипта data:text/html), через расширение в обычном режиме (есть среда выполнения, но не могу остановить выполнение)
Уверен, что browser.js исправил бы ситуацию.
Илья приводил ссылку www.securitylab.ru/vulnerability/430940.php
В статье есть ссылка и на оригинал.
Я надеюсь, что обсуждаемый здесь баг с редиректом нельзя объеденить с этим xss.
>2. Наш вывод по поводу классификации данного бага косвенно подтверждают и сторонние исследователи из SecurityLab.ru и >Secunia.com, не опознавшие в данном баге браузеронй уязвимости. На SecurityLab.ru опубликовано сообщение о другой >«уязвимости», которая на самом деле также не является уязвимостью именно браузера (см. Межсайтовый скриптинг).
Илья, формально xss является уязвимостью сайтов. Но в данном случае это очень серьезная уязвимость браузера, которую очень легко эксплуатировать. Далеко не все популярные сайты используют HTTP only cookies. Habr не является исключением.
Я думаю, многие ждали релиза 12.03, а не тестовую сборку Opera Next, релиз которой (и соответственно автоматическое обновление) будет непонятно когда.
в 12.02 не закрыта уязвимость с xss. Исправили в тестовой сборке, но непонятно когда выйдет релиз. И это меня гораздо больше беспокоит чем редирект, который можно отключить в настройках.
И что теперь делать?
addons.opera.com/ru/extensions/details/iaperevodchik/
dl.dropbox.com/u/1830638/TX_Security_Upgrade%28for%20wpa2%29.zip
вам этого недостаточно? а если бы это был не хабр, а ваша почта?
Уверен, что browser.js исправил бы ситуацию.
В статье есть ссылка и на оригинал.
Я надеюсь, что обсуждаемый здесь баг с редиректом нельзя объеденить с этим xss.
Илья, формально xss является уязвимостью сайтов. Но в данном случае это очень серьезная уязвимость браузера, которую очень легко эксплуатировать. Далеко не все популярные сайты используют HTTP only cookies. Habr не является исключением.
Я думаю, многие ждали релиза 12.03, а не тестовую сборку Opera Next, релиз которой (и соответственно автоматическое обновление) будет непонятно когда.