Comments 145
Напомните ссылку на хабраредактор, а то самому страшно.
Судя по тому, что вы перешли по ссылке от явно спам письма, то об этой фразе «Комп кристально чист и не заразен…», можно забыть.
Согласен, но в данном случае: Думаю мало кто возьмется спорить с тем при использовании последних версий постоянно развивающихся альтернтивных браузеров выполнение кода на локальной машине практически исключено. С учетом также моего патологически-параноидального отношения к авторанам на флешках, левым экзешникам, с наличием на компьютере продуктов, организующих безопасность на нем в конце концов… Ну следуя из всего этого я так заключил. Все чисто, разве что не блестит =)
щас вконтакте подсуетится и закроет дыру. надеюсь.
всегда к этому идет, когда подобные вещи вылезают в паблик =)
да я же только за. хотя не ясно тогда сколько же получают программисты вконтакте если они допускают такие ошибки (под словом получают имелось ввиду и сумма зп и их проф уровень). это же не сайт васи пупкина. это громадная соц сеть которую должны пробовать на взлом хакеры (само собой по заказу владельцев вконтакте), специалисты по безопасности и тд и тп.
не понимаю…
не понимаю…
На этот вопрос Вам ответит вакансия, которая светилась относительно недавно там…
Вкратце — програмист-верстальщик-дизайнер.
Хотя со всеми бывает… Может человеческий фактор.
Вкратце — програмист-верстальщик-дизайнер.
Хотя со всеми бывает… Может человеческий фактор.
Цель программсита побыстрее сдать код и получить деньгию. Плевать он хотел на вашу безопасность. Вы посмотрите на винду какую-нибудь, мегакорпорация, а делают систему на уровне разработок 20-летней давности. Победил индус-стайл кодинг, ничего не поделаешь.
Хотя избегать XSS — проще простого.
Хотя избегать XSS — проще простого.
1. не все программисты которые просто хотят денег.
2. винду делают между прочим на высочайшем уровне на котором ни вам и ни мне не снилось даже. cmm5 в полной мере это вам не вася пупкин ко. а то что у них есть баги — я бы на вас глянул с таким обьемом кода сколько бы там багов было.
плохо то что программситы знают о дыре и не закрывают.
либо это кому то выгодно, либо это кому то выгодно :) ибо уважающий себя программист узнав о дыре сразу же полезет ее латать.
2. винду делают между прочим на высочайшем уровне на котором ни вам и ни мне не снилось даже. cmm5 в полной мере это вам не вася пупкин ко. а то что у них есть баги — я бы на вас глянул с таким обьемом кода сколько бы там багов было.
плохо то что программситы знают о дыре и не закрывают.
либо это кому то выгодно, либо это кому то выгодно :) ибо уважающий себя программист узнав о дыре сразу же полезет ее латать.
Это не так. Практически у любого программиста (вне зависимости от уровня самоуважения) есть начальство…
1. Есть, но их маловато.или они видимо работают в каих то других областях.
2. Я не знаю, что такое cmm5, я про интерфейс. Извините, но эти несчастные меню, окошки, диалоги сохранения файла, и прочая хрень (Меню «Пуск», когда же оно сдохнет!), стыренная у ксерокса и эппл, придуманы лет 30 назад, они давно и безнадежно устарели. Впрочем, когда МС тырит идеи, это еще ничего, а вот когда сами придумывают, получается ужас типа ribbon. Хотя наверно, это вечный религиозный спор :)
Программситы, авозможно, все заняты, им не до этого, и с чего кстати вы взяли, что они о ней знают.
2. Я не знаю, что такое cmm5, я про интерфейс. Извините, но эти несчастные меню, окошки, диалоги сохранения файла, и прочая хрень (Меню «Пуск», когда же оно сдохнет!), стыренная у ксерокса и эппл, придуманы лет 30 назад, они давно и безнадежно устарели. Впрочем, когда МС тырит идеи, это еще ничего, а вот когда сами придумывают, получается ужас типа ribbon. Хотя наверно, это вечный религиозный спор :)
Программситы, авозможно, все заняты, им не до этого, и с чего кстати вы взяли, что они о ней знают.
Да-да! А ещё Microsoft стырил идею одинаковые повторяющиеся действия объединять в цикл! ;-)
Как вы заебали сунуть свой эппл и ругать винду. Разговор вообще не об этом
Скорее всего имелось ввиду CMMI For Development Maturity Level 5, который крайне тяжело получить.
обвините тойоту что украли у форда идею движущийся тележки на четырех колесах…
Майкрософту выгодно выпускать Windows с багами, ведь можно будет продать следующую версию Windows, которая безопаснее, удобнее и современнее.
Винда? Да ну бросьте, не всегда старый код плох. Или то, что vi уже 33 года, уже не аргумент?
Это сайт Пашки Дурова, учитывая направление его развития, его не сервис интересует, а купоны.
Хех. Вконтакте глюки верстки в профиле не могут месяца 3 подправить, только на моей памяти… что уж говорить об программинге :)
Дырка жива давно. Народ не чешется.
Кстати, да. От жены таким же образом рассылались сообщения чуть ли не полгода назад. После краткой лекции «не ходить по левым ссылкам и т.д.» и смены пароля — более не повторялось.
А вот у её знакомой в одноглазниках было ещё интереснее: аналогичный спам, но разным людям — разный, причём сделано просто офигенно, и выглядит как продолжение переписки (с цитированием и более-менее осмысленным комментарием), после которого идёт «кстати, я тут в конкурсе участвую, бла-бла-бла....». Самое интересное — конкурс от самих одноглазников. Что ещё интереснее — через пару дней письма самопроизвольно удалились.
А вот у её знакомой в одноглазниках было ещё интереснее: аналогичный спам, но разным людям — разный, причём сделано просто офигенно, и выглядит как продолжение переписки (с цитированием и более-менее осмысленным комментарием), после которого идёт «кстати, я тут в конкурсе участвую, бла-бла-бла....». Самое интересное — конкурс от самих одноглазников. Что ещё интереснее — через пару дней письма самопроизвольно удалились.
Очень вряд ли — до сих пор вон просмотр скрытых фотографий латают
Судя по сообщениям на форуме их техподдержки — уязвимости полгода минимум, а вот закрывать её они не горят желанием. Сам вчера так же попался :)
ответ на описание уязвимости на форуме: «знаем».
Странно что полгода, ведь gsearch.php появился буквально пару месяцев назад.
Безопасный браузер ничего не гарантирует (в данном случае это XSS-уязвимость на «крупнейшем сайте рунета»), а вот бдительность усыпляет
Случано отправилось…
Так вот к тому же ФФ есть Noscript, который по идеи такую заразу должен уметь резать.
Так вот к тому же ФФ есть Noscript, который по идеи такую заразу должен уметь резать.
xss — лажа сайта, а не браузера.
С этим никто не спорит и исправлять это конечно надо на уровне кода веб-приложения.
Но страдает от этого «браузер» и поэтому дополнения вроде Noscript безусловно полезны и выполняют свои функции неплохо.
Но страдает от этого «браузер» и поэтому дополнения вроде Noscript безусловно полезны и выполняют свои функции неплохо.
посмотрел на описание этого плагина, он же только отключает скрипты для конкретного сайта, в опере (использует автор статьи) такое есть, но толку мало, надо же знать, что сайт с уязвимостью.
Почитайте более подробно как работает. Он в по умолчанию отключает все скрипты, а вы уже включаете скрипты для конкретного сайта/домена.
Он блокирует все XSS и подозрительные скрипты. Отключать можно гибко, лучший плагин для безопасного серфинга.
Что значит «все XSS»? Все скрипты, обращающиеся на сторонние хосты/подгружающиеся со сторонних хостов?
The Noscript Firefox extension provides extra protection for Firefox, Flock, Seamonkey and other mozilla-based browsers: this free, open source add-on allows Javascript, Java and Flash and other plugins to be executed only by trusted web sites of your choice (e.g. your online bank), and provides the most powerful Anti-XSS protection available in a browser.
за что минусы? у меня noscript по-умолчанию разрешает все скрипты на всех сайтах, но после попытки перейти по ссылке «демонстрирует это» noscript написал, что заблокировал потенциальную xss атаку. так что все он умеет и режет.
забыл добавить — никакого алерта не было. попробовал в опере — выскакивает.
Не знаю за что минусы, но я подобные вещи не использую т.к. представляется некоторая аналогия такой надстройки с фаерволом и его правилами. Но если фаерволом я реально защищаю свою машину, и впринципе все прозрачно для пользователя разрешается/запрещается, а noscript — зная, как в вебе все подгружается не понять откуда и куда (хосты разные даже в пределах одного ресурса, тот же вконтакте с их серверами фотографий формата csXXX.vkontakte.ru и не только) — не заморачиваюсь в общем, а считаю что все XSS-проблемы должны решаться на стороне сервера. Т.к. на 100% тут noscript всеравно не спасет (нет четких правил что можно, а что нельзя подгружать), а вот время отнимет на то чтобы разбираться со всем этим. Когда я хочу зайти в веб, на какой-нибудь сайтик, посмотреть там фотки гламурненьких машинок и собачек, а не думать о работе, настраивая правила безопасности :) имхо.
Ваши бы принципы да веб-разработчикам в уши. Вот оно и решается допустим на том же «В контакте». Решается долго, а в это время происходят атаки, описанные вами же. Пользователям ждать, когда же наконец-то разработчик исправить XSS и «не пользоваться интернетом»? Никто не отрицает того факта, что надо исправлять на стороне сервера, но время обнаружения/исправления/тестирования обычно не такое маленькое как вы себе видимо представляете. Noscript помогает как раз в этот промежуток (когда разработчик наконец-то додумается исправить баг) пользователям избежать атаки.
для наибольшей безопасности нужен nohtml <_<
кстати у меня на незалогиненом в контакте по вашей ссылки для проверки уявзимости выдало запрос на логин и никакого алерта. таки логинится надо чтобы поиск работал.
Noscript вам в браузер. Спасает от XXS и от Javascript на ненужных страницах.
Дурыч посасывает хуйцы в очередной раз :) А ведь клятвенно заверял, что никаких уязвимостей на их сайте нет и быть не может, а весь спам это из за глупых пользователей, оставляющих свои пароли где попало…
Наверно идеальный пользователь в его понимании это тот, который сидит только в контакте и других сайтов для него не существует. Что ж, он пожалуй в безопасности :D Ах да, приложения тоже запускать не желательно
Дуров много что клятвенно заверял =) Про эту уязвимость «девёлопёрам» известно уже месяца 2 точно, воз, как видно, и ныне там =) Получается как в басне, практически =) Дуров весь в белом, аки лебедь, вконтактёры раком… ну и где-то еще с… щуки-спамеры =)
Дуров говорил про сферического пользователя в вакууме
подобное заявление — уже глупость=))
«Эта музыка будет вечной»
О, эта уязвимость не нова. Сначала я видел людей, рассылающих друзьям на стены сообщения вида «глянь третий ролик в пятом ряду на этом порносайте, это очень смешно», потом стали приходить уже мне личные сообщения с тестом IQ и фразой «приветик» от довольно брутальных по характеру парней. От этого ведь не защитишься на стороне сервера?
Ох уже эти социалки, ох уж эти разработчечги…
offtop: Не первый год с интересом наблюдаю за всем, что творится в этих вконтактах-одноклассниках-соседях-социалках и тихо радуюсь, что до сих пор так и не зарегистрировался там.
offtop: Не первый год с интересом наблюдаю за всем, что творится в этих вконтактах-одноклассниках-соседях-социалках и тихо радуюсь, что до сих пор так и не зарегистрировался там.
Требуется нотариально заверенный скриншот! :)
А то у меня нет логиа вконтакте, не могу посмотреть что там по ссылке.
А то у меня нет логиа вконтакте, не могу посмотреть что там по ссылке.
Да пожалуйста! Заверить к сожалению не могу, у нас все уже закрыто =)
А что означает это 777?
Вообще 777 ничего не обозначает, я там просто alert(777); я привык алертить цифры, т.к. если получается с цифрами, то например в этом случае даже фильтрацию на кавычки можно обойти тем же String.fromCharCode(), закодировав нужный код.
P.S. Хотя нет, наверное все-таки обозначает. Знаете, в рулетке когда 777 выпадает — Удача значит! =)
P.S. Хотя нет, наверное все-таки обозначает. Знаете, в рулетке когда 777 выпадает — Удача значит! =)
это не xss, а csrf
Это как раз XSS — выполнение кода в контексте безопасности уязвимого сайта. Выполняющийся код имеет доступ к кукам своего домена, в данном случае это vkontakte.ru, а вот сами данные передаются на сторонний сервер
Там и то и то
Сначала csrf а уже внутри xss
Тема безопасности вконтакте может собрать много прикольных аббревиатур…
Сначала csrf а уже внутри xss
Тема безопасности вконтакте может собрать много прикольных аббревиатур…
а… там xss на странице, на которой предупреждение о переходе на сторонний ресурс?
пардон тогда, это не совсем очевидно из текста поста для людей, которые редко пользуются сабжем.
пардон тогда, это не совсем очевидно из текста поста для людей, которые редко пользуются сабжем.
«ну и естественно, сидя на опере, чуствуя себя в безопасности»
…
«В IE не работает, т.к. там нет поддержки протокола «data:»»
Ну и кто тут безопаснее?
А вообще, наивно думать, что существует безопасный браузер. «Я пользуюсь оперой, теперь меня не достанут хакеры!», «ЗА FF я как за каменной стеной!»
…
«В IE не работает, т.к. там нет поддержки протокола «data:»»
Ну и кто тут безопаснее?
А вообще, наивно думать, что существует безопасный браузер. «Я пользуюсь оперой, теперь меня не достанут хакеры!», «ЗА FF я как за каменной стеной!»
>ну и естественно, сидя на опере, чуствуя себя в безопасности я перешел по этой ссылке.
безопастной бывает только гиря без ручки, в квадратном цементном блоке и то не на 100%
безопастной бывает только гиря без ручки, в квадратном цементном блоке и то не на 100%
я вот думаю, что вариантом защиты (пока дыру не залатали, разумеется) может быть следующий плагин:
он смотрит содержимое страницы, декодит все ссылки в plaintext, а потом если находит в них переход на vkontakte.ru с левого сайта, то запрашивает подтверждение у пользователя.
такие реквесты будут всплывать не часто (у меня может раз в 2 дня), а защита хорошая. что-то типо UAC в висте.
хорошо было бы все это написать как userjs, да вот только не факт, что яваскрипт успеет вовремя перехватить злобный переход
он смотрит содержимое страницы, декодит все ссылки в plaintext, а потом если находит в них переход на vkontakte.ru с левого сайта, то запрашивает подтверждение у пользователя.
такие реквесты будут всплывать не часто (у меня может раз в 2 дня), а защита хорошая. что-то типо UAC в висте.
хорошо было бы все это написать как userjs, да вот только не факт, что яваскрипт успеет вовремя перехватить злобный переход
Никогда не будет решена проблема ВКонтакте. Поэтому лучше не открывать ссылки подозрительныее и не будет проблем лишних… Начиная от спама, заканчивая угонами ICQ и тд.
Подскажите,
«Закроется» ли эта бага, если везде будет нормальный escaping?
(не сотрудник ВКонтакте, интересует потенциально для своих сайтов)
«Закроется» ли эта бага, если везде будет нормальный escaping?
(не сотрудник ВКонтакте, интересует потенциально для своих сайтов)
от любопытных пользователей не спасет никакая защита :)
не силен в технологии, но куки воруют от многих сайтов, сколько раз уже писали на free-lance.ru про подобные случаи
У меня для всяких подозрительных ссылок отдельный браузер, с чистыми куками и кэшем, мало ли…
не силен в технологии, но куки воруют от многих сайтов, сколько раз уже писали на free-lance.ru про подобные случаи
У меня для всяких подозрительных ссылок отдельный браузер, с чистыми куками и кэшем, мало ли…
Эх, вот не зря у меня на незнакомых сайтах отключены ифреймы, явакрипт, флеш и прочая муть :)) Спасибо Опере за это))
А ещё на вконтакте можно в дате рождения можно ввести 31-е февраля. Какие-то мудаки, честно слово, разрабатывают этот сайт.
Мне тоже как-то делать было нечего, результат: 32 фебраля 31337 года. И отрицательный возраст.
скрин? сохранился?
vkontakte.ru/id4052768 не только скрин =)
Noscript отфильтровал потенциальную XSS-атаку
Так-то )
Насколько я понимаю, спасет открытие сомнительных ссылок в хроме в режиме инкогнито.
Установил Noscript.
Уже не работает…
> И тут понимаю, что мое природное любопытство подвело меня и в этот раз. Вчера аналогичное сообщение пришло мне, ну и естественно, сидя на опере, чуствуя себя в безопасности я перешел по этой ссылке.
Я что-то не пойму, кто все-таки виноват? Если я ногой случайно сетевой фильтр выключу — это майкрософт виноват, что я под виндой работаю?
А вообще опера вроде частично блочит джаваскрипт между фрэймами с разными доменами?
Я что-то не пойму, кто все-таки виноват? Если я ногой случайно сетевой фильтр выключу — это майкрософт виноват, что я под виндой работаю?
А вообще опера вроде частично блочит джаваскрипт между фрэймами с разными доменами?
Виноват кто? В обеспечении безопасности своего ресурса виноват вконтакт, в обеспечении же своей собственной безопасности, а также в нарушении психического здоровья моих друзей в результате спам-рассылки — виноват я сам =)
Насчет фреймов. Встречал я вот такой кусочек кода:
var iframe = document.createElement('IFRAME');
//have the IFRAME download the content we want to steal
iframe.src = 'http://site.com/AddressBook.php);
//make the IFRAME invisible
iframe.style=«width:0px; height:0px; border: 0px»
//set our function to call when the IFRAME is done loading
iframe.onload = callbackFunction;
//now add the IFRAME to the DOM.
Document.body.appendChild(iframe);
Это к слову для организации CSRF. Получается можно загружать и с разных хостов.
Насчет фреймов. Встречал я вот такой кусочек кода:
var iframe = document.createElement('IFRAME');
//have the IFRAME download the content we want to steal
iframe.src = 'http://site.com/AddressBook.php);
//make the IFRAME invisible
iframe.style=«width:0px; height:0px; border: 0px»
//set our function to call when the IFRAME is done loading
iframe.onload = callbackFunction;
//now add the IFRAME to the DOM.
Document.body.appendChild(iframe);
Это к слову для организации CSRF. Получается можно загружать и с разных хостов.
roem.ru/2009/04/25/addednews10574/
… durov 25.04.2009 21:55:48 #… Взламывают через фишинговые сайты, как и везде…
… durov 26.04.2009 07:56:36 #… был слив паролей с сайта free-lance.ru…
ну и т.д.
… durov 25.04.2009 21:55:48 #… Взламывают через фишинговые сайты, как и везде…
… durov 26.04.2009 07:56:36 #… был слив паролей с сайта free-lance.ru…
ну и т.д.
На самом деле: чем популярнее продукт, тем больше уязвимостей в нем найдут.
Будь это сайт, машина, телефон(привет iphone с псевдоуязвимостью), самый банальный справочник/учебник.
По сколько раз их переиздают/пересоздают? и, заметте, не просто так.
Это нормальный процесс. Отвалилась штукатурка, закрасили
Будь это сайт, машина, телефон(привет iphone с псевдоуязвимостью), самый банальный справочник/учебник.
По сколько раз их переиздают/пересоздают? и, заметте, не просто так.
Это нормальный процесс. Отвалилась штукатурка, закрасили
интересно много ли хаброюзеров читают спам приходящий в ящик вкантакте?
И только мне начало казаться, что разрабы вконтактика научились на собственных ошибках и стали их меньше делать…
document.cookie…
Если бы они использовали httponly куки для авторизации, то как минимум не пострадали бы пользователи браузеров поддерживающих такие куки:
www.owasp.org/index.php/HTTPOnly
Странно что кто то для session id еще использует куки без httponly. Может я чего то не знаю и на это есть причины?
Если бы они использовали httponly куки для авторизации, то как минимум не пострадали бы пользователи браузеров поддерживающих такие куки:
www.owasp.org/index.php/HTTPOnly
Странно что кто то для session id еще использует куки без httponly. Может я чего то не знаю и на это есть причины?
Вы определенное редко посещаете контакт) Такое стабильно присылается раз в неделю мне ну и посылается далее -на***- в спам без прочтения. Ну… контакт тот еще дуршлаг)) Хотя у меня всегда складывается ощущение, что большенство, так называемых багов там, сделаны специально) например доступ к закрытым фотоальбомам видео и прочь), но конешно эта дыра к такого рода не относится…
Эхх. А я успел при помощи этой атаки поприкалываться на другом (менял статус у него).
Хотел было приколоться, сделать сервис «Залогинься на любой аккаунт вконтакта». Не успел :)
Хотел было приколоться, сделать сервис «Залогинься на любой аккаунт вконтакта». Не успел :)
Sign up to leave a comment.
XSS вконтакте