Комментарии 64
Не подскажете, он крадет только хабровский кукис или вообще все?
konfuze, спасибо за заметку! Но лучше это все было сначала отправить админам, чтобы не высплыло тут еще умников.
старую дыру не залатали
надо сверху там гденибудь в тредах добавить скрипт останавливающий последующее исполнение скриптов.. или попробовать вверху к тредам написать
<noscript> а ниже того коммента закрыть тэг-</noscript>
Парсер с тех пор немного пофиксили, но, как мы видим, не до конца.
viva la noscript!
А теперь посмотрите во что парсер превратил ваш линк )
Вот ссылка получше (парсер — лох!) : NoScript.
Перекладывай в коллективный блог.
>Рекомендуется сменить пароль.
Да достаточно перелогиниться, т.к. злоумышленник не сможет сменить пароль - для этого необходимо знать старый пароль. В общем, аккаунт не украдут, но личной информацией могут воспользоваться.
Да достаточно перелогиниться, т.к. злоумышленник не сможет сменить пароль - для этого необходимо знать старый пароль. В общем, аккаунт не украдут, но личной информацией могут воспользоваться.
Просто перелогиниться не поможет - хэш не меняется при новом логине, но пароль да, сменить не смогут.
Обычно в таких случаях советую сменить пароль, т. к. в хэшем из кук может быть md5-хэш от пароля (к хабру это не относится), а это уже один шаг к получению пароля. В теории, конечно.
Обычно в таких случаях советую сменить пароль, т. к. в хэшем из кук может быть md5-хэш от пароля (к хабру это не относится), а это уже один шаг к получению пароля. В теории, конечно.
Будешь не зная прокачивать какого-нить виртуала с очередным PR на главную.
пойду поищу какой-то сайт похожий на хабр но из *.ua и безопасней, т.к. тупо каждый комент менять пароль
Опять gojas шалит.. он уже реально запарил.
я в шоке. похоже на хабр стоит ходить через текстовый браузер ))
капец, гребаный хабр. Его что, совсем через задницу писали? Как можно допускать такие дырени в безопасности? накипело
Отпустило. Прилетело НЛО и почикало скрипт.
у нас на babyblog та же фигня вылезла. Заткнули дыру со скриптом - все ок
У меня KIS 2009 beta сразу сказал что в том топике фишинг атака.
Вы еще не видели логов серверов сегодня (не хабра конечно, я про свой): объявился бот с юзер- агентом libwww-perl/5.805 и libwww-perl/5.65 вот тот генерит офигетельный xss, когда попробовал посмотреть что же там за урлы, каспер взбунтовался не нашутку... пришлось даже FF из его блек-листа вытаскивать.
Вы еще не видели логов серверов сегодня (не хабра конечно, я про свой): объявился бот с юзер- агентом libwww-perl/5.805 и libwww-perl/5.65 вот тот генерит офигетельный xss, когда попробовал посмотреть что же там за урлы, каспер взбунтовался не нашутку... пришлось даже FF из его блек-листа вытаскивать.
как у KIS 2009 из нагрузкой на систему?..
(сори за оффтоп. просто у меня Norton 360, но я не очень сильно им доволен...)
(сори за оффтоп. просто у меня Norton 360, но я не очень сильно им доволен...)
Я думаю что вот эта статья ответит на Ваш вопрос. В KIS 2009 ресурсопотребление еще немного меньше
как удалось вставить скрипт? парсер же режит всё со словом script, из-за чего многие линки не работают.
я надеюсь этому хабраюзеру все уже нагадили в карму? :)
Я этот топик не смотрел, но вчера заметил такую фигню. Почитал что пишут на хабре - ушел поработать, пришел - а тут в новых топиках кол-во комментарий пишется, типа 23+16. Следовательно хабр посчитал, что я его читал уже, но я этого не делал..
Сменил пароль.
У кого-то было подобное? Это глюк с комментариями на хабре или все же жулики?
Сменил пароль.
У кого-то было подобное? Это глюк с комментариями на хабре или все же жулики?
:)
В топике про вконтакт и оперу такая же хрень.
Я героически заминусовала его до неотображения, но это просто дисплейнан, и скрипт всё равно подгружается=(
А администрация опять спит, да?
Я героически заминусовала его до неотображения, но это просто дисплейнан, и скрипт всё равно подгружается=(
А администрация опять спит, да?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Внимание, воровство cookies!