Комментарии 16
НЛО прилетело и опубликовало эту надпись здесь
Если публикация идёт автоматически из твиттера, то странно, что за 3 дня уязвимость на InformationWeek до сих пор работает
Как вы лихо опустили, основной текст поста. Автор писал о том как XSS бага в Google+ привела к строительству новой школы, а о том, что эта XSS забавно была обнаруже на другом сайте было написано буквально одно предложение.
Суть такова, автор нашел нсколько баг, за, что суммарно получил $1300. Он решил их пожертвовать на строительство школы, а когда жертвуешь гугл удваивает вознаграждение.
Суть такова, автор нашел нсколько баг, за, что суммарно получил $1300. Он решил их пожертвовать на строительство школы, а когда жертвуешь гугл удваивает вознаграждение.
Это только у меня в RSS Feedler на iPad при открытии этой статьи на Хабре вылезает такое же сообщение?
Как в анекдоте:
«Вашего сына действительно зовут Robert'); DROP TABLE students;?»
«Вашего сына действительно зовут Robert'); DROP TABLE students;?»
НЛО прилетело и опубликовало эту надпись здесь
А ещё лучше сюда.
Когда находил XSS в ЖЖ, мой пост скопировали в yablor. Алерт стал появляться и там. В ЖЖ после отписки это закрыли, а на яблоре так и висит.
Причем я им отписывал — больше года прошло — никакой реакции, ловите привет парни, поменял текст: yablor.ru/blogs/lobotomiya-v-domashnih-usloviyah/1207325
Причем я им отписывал — больше года прошло — никакой реакции, ловите привет парни, поменял текст: yablor.ru/blogs/lobotomiya-v-domashnih-usloviyah/1207325
НЛО прилетело и опубликовало эту надпись здесь
Это все эхо экономии — почему-то считается что если тебе нужен сайт, то нужно пойти на фриланс и написать «бюджет 5 т.р.». В результате получается нечто самописное и самобытное, в стиле соседнего поста про фильтрацию и проверку данных в PHP.
На дня видел на фрилансе задачу: «социальная сеть, аналог facebook, под ключ. бюджет 10000 рублей». В общем за что борются, на то и напарываются.
Скрипт с другого домена это еще ничего, браузер куки ему не отдаст. В ЖЖ в принципе правильно поступают — потенциально опасный контент еще и во фрейм пихают с другого домена.
Когда находил еще одну возможность, оно их хорошо спасло. Там история такая: в object можно было подгрузить SVG картинку, а в нее вписать скрипт. Во всех браузерах кроме ИЕ прекрасно работало, только в опере не смотрел — не знаю что там было-бы. В итоге когда с ними разговаривали, они вообще ввели белый список доменов, с которых медиаконтент можно грузить. Ну я тоже тут никакого другого выхода не вижу — никакие фильтрации не спасут. Яндекс то-же самое давно сделал, еще во времена первой XSS, я тогда Кукуцу в личку ЖЖ писал, он сразу отреагировал.
На дня видел на фрилансе задачу: «социальная сеть, аналог facebook, под ключ. бюджет 10000 рублей». В общем за что борются, на то и напарываются.
Скрипт с другого домена это еще ничего, браузер куки ему не отдаст. В ЖЖ в принципе правильно поступают — потенциально опасный контент еще и во фрейм пихают с другого домена.
Когда находил еще одну возможность, оно их хорошо спасло. Там история такая: в object можно было подгрузить SVG картинку, а в нее вписать скрипт. Во всех браузерах кроме ИЕ прекрасно работало, только в опере не смотрел — не знаю что там было-бы. В итоге когда с ними разговаривали, они вообще ввели белый список доменов, с которых медиаконтент можно грузить. Ну я тоже тут никакого другого выхода не вижу — никакие фильтрации не спасут. Яндекс то-же самое давно сделал, еще во времена первой XSS, я тогда Кукуцу в личку ЖЖ писал, он сразу отреагировал.
Хехе — вот он — эффект хабра. Год не трогали, а на следующий день после комментария на хабре исправили )
Твит? В Google+? WTF вообще?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Твит об XSS-баге в Google+ привёл к XSS на сайте издания InformationWeek