Комментарии 185
(следует из предыдущего) никогда не ходите по ссылкам, полученным неизвестно откуда — первое правило в сети :) да и если известно откуда, но ссылка вызывает подозрения лучше не идти… это к 2му пункту)
Товарищи спамеры научились давать ссылки сразу на away.php ВКонтакте, а дешифровать %3F%2C… и т.д. в мозгу я еще не научился :)
Под линуксом? Легко!
perl -e 'while (<>) { s/%([a-f0-9]{2})/chr(hex($1))/gei;print; }'
perl -e 'while (<>) { s/%([a-f0-9]{2})/chr(hex($1))/gei;print; }'
А еще не пишите «я пользую вконтакте» (правильно: пользуюсь, «пользовать» означает лечить и не более того) — я понимаю, что накинутся сейчас, но задолбало такое повсеместное словоупотребление неимоверно.
А еще не пишите «я пользую вконтакте» (правильно: пользуюсь, «пользовать» означает «лечить» и не более того) — я понимаю, что накинутся сейчас, но задолбало такое повсеместное словоупотребление неимоверно.
Друзья, не кипятитесь — очевидно же, что глюк браузера. Бывает и GPRS в жизни иногда, что ж поделаешь.
правильно-неправильно — не вам решать, русский язык изменяется, и слово «пользую» не в значении «лечить» уже довольно распространено, скоро внесут в словари.
Вот когда внесут (в чём я КРАЙНЕ сомневаюсь), тогда мы и пообщаемся, ок?
Это не слово в таком значении распространено, это просто стало модно -ся опускать вообще — то ли просто набрать/проговорить лень, то ли диалектизм какой-то. Очень сильно сомневаюсь, что подобную безграмотность когда-либо легализуют внесением в словари.
network.standard-url.escape-utf8 false
Мне кажется тут про это уже писали, но судя по всему, администрация контакта не торопится обеспечить безопасность пользователям :(
Честно пытался найти по тегу Вконтакте и по тегу xss (для меня это наиболее очевидные теги для этого топика) что-то похожее — не смог.
Было на хабре при аналогичные XSS (например habrahabr.ru/blogs/infosecurity/62283/).
При том эти старые XSS закрывали.
Но вот чего я не пойму, так это насколько нужно быть жопоруким быдлопрограммистом, чтоб «закрыть» одну XSS уязвимость, и не закрыть идентичную на ТОЙ ЖЕ странице.
При том эти старые XSS закрывали.
Но вот чего я не пойму, так это насколько нужно быть жопоруким быдлопрограммистом, чтоб «закрыть» одну XSS уязвимость, и не закрыть идентичную на ТОЙ ЖЕ странице.
Думаю вопрос нужно поставить иначе — «какие причины у них были закрывать одну уязвимость, и оставлять идентичную, на той же странице открытой».
Вообще, то как на вконтакте закрывают уязвимости, отдельная история. Расскажу для тех, кто не знает историю о том, как слово «javascript» стало запретным на вконтакте =)
Было это в октябре 2007 года. Тогда на вконтакте практиковался увод паролей с помощью все того же «javascript:document.cookie».Смысл был в том, злоумышленники предлагали скопипастить некий код в строку браузера, который сливал куки.
Так вот Дуров начал решать проблему в своем стиле. Сначала (если не ошибаюсь, 10 октября 2007 года) он запретил писать слово «javascript» (оно заменялось, да и сейчас заменяется, на «javas?1?ript»). И видимо был очень счастлив, подумав, что решил проблему.
Но не тут то было. Хотел бы я посмотреть на разработчиков контакта, когда они увидели на следующий день, что вместо «javascript» хацкеры просто писали «Javascript» или «JaVascript» :)))) Браузер благо к регистру не привередлив…
С яваскрипт проблему конечно тут же доправили, но тем, кому хотелось побольше вкусных «печенек», все же умудрялись заставлять писать пользователей в строку браузера слово «javascript».
И тогда Паша принял очередной гениальный ход: запретил писать слово «cookie», чтобы уж никто ими точно не полакомился.
Как вы догадались, хацкеры в долгу не остались и просто заменили document.cookie на eval'(document.coo'+'kie'). :)))
Вот такая вот история…
Было это в октябре 2007 года. Тогда на вконтакте практиковался увод паролей с помощью все того же «javascript:document.cookie».Смысл был в том, злоумышленники предлагали скопипастить некий код в строку браузера, который сливал куки.
Так вот Дуров начал решать проблему в своем стиле. Сначала (если не ошибаюсь, 10 октября 2007 года) он запретил писать слово «javascript» (оно заменялось, да и сейчас заменяется, на «javas?1?ript»). И видимо был очень счастлив, подумав, что решил проблему.
Но не тут то было. Хотел бы я посмотреть на разработчиков контакта, когда они увидели на следующий день, что вместо «javascript» хацкеры просто писали «Javascript» или «JaVascript» :)))) Браузер благо к регистру не привередлив…
С яваскрипт проблему конечно тут же доправили, но тем, кому хотелось побольше вкусных «печенек», все же умудрялись заставлять писать пользователей в строку браузера слово «javascript».
И тогда Паша принял очередной гениальный ход: запретил писать слово «cookie», чтобы уж никто ими точно не полакомился.
Как вы догадались, хацкеры в долгу не остались и просто заменили document.cookie на eval'(document.coo'+'kie'). :)))
Вот такая вот история…
я думаю, что в этом случае админы контакта могут сделать только одно — привязывать на время сессии айпишник к самой сессии, чтобы с другого IP нельзя было делать что-то от лица аккаунта
вообще, против глупости некоторых пользователей вконтакте не существует никакой защиты
это не лично к кому-то, просто наблюдения в течении года
я уверен, что в ближайший месяц появится еще зараза
вообще, против глупости некоторых пользователей вконтакте не существует никакой защиты
это не лично к кому-то, просто наблюдения в течении года
я уверен, что в ближайший месяц появится еще зараза
В этом случае админы могут фильтровать ввод. Делов то.
>я думаю, что в этом случае админы контакта могут сделать только одно — привязывать на время сессии >айпишник к самой сессии, чтобы с другого IP нельзя было делать что-то от лица аккаунта
Это давно надо было сделать.
Это давно надо было сделать.
Присоединяюсь.
напишите об этом Дурову
ему-то что до дел простых смертных?
ну судя по богу вконтакте, он все-таки занимается проектом
только не все пожелания учитывает
может это ему даже на руку — такая база «простых смертных» собрана, что с ней можно дикие вещи творить
только не все пожелания учитывает
может это ему даже на руку — такая база «простых смертных» собрана, что с ней можно дикие вещи творить
Бог тоже вКонтакте?
Извините, не сдержался.
Извините, не сдержался.
помимо него ещё несколкько человек, ну понятно что нужно написать кому-нибудь из администрации.
но скорость решения вопроса…
а база у него уххх!)))
пс: действительно: опечатка привнесла нечто интересное :D
но скорость решения вопроса…
а база у него уххх!)))
пс: действительно: опечатка привнесла нечто интересное :D
ну я, например, за рубежом, у меня постоянный IP c коннекта до дисконнекта
можно сделать даже не проверку всего IP, а хотя бы на диапазон, принадлежащий IP владельца аккаунта
у каждого провайдера ведь свой диапазон IP-адресов
можно сделать даже не проверку всего IP, а хотя бы на диапазон, принадлежащий IP владельца аккаунта
у каждого провайдера ведь свой диапазон IP-адресов
Для таких (в частности, для сидящих за микрософтовским балансирующим файрволом) делается галка «привязывать к IP». И это делается автоматически любым, кто начинает писать поддержку кук.
Вообще говоря, там уже есть галочка «Чужой компьютер», которая привязывает сессию к IP. Просто все ленятся заново вводить пароль :)
грамотнее не к IP привязываться, а к браузеру. Т.е. кука сама по себе — мясо, а вот в купе с горкой вещей (+с некотрыми вообще недоступными для яваскрипта, например, Accept-Language или UA). Конечно это все равно можно будет симитировать — но уже куда сложнее.
Ещё вариант — авторизовывать вообще на другом домене, связав сервера друг с другом (а-ля oAuth). Там хочешь куки при, хочешь не при — утащишь только «короткую» авторизацию основного домена (который автоматом перебросит на авторизовалку раз, скажем, в 5 минут).
Это из разряда траблов с «юзер ввёл ссылку javascript:...». Обычный же XSS через сам сайт довольно легко побороть — просто не заниматься хернёй и не брать html тем более через get запрос!
Ещё вариант — авторизовывать вообще на другом домене, связав сервера друг с другом (а-ля oAuth). Там хочешь куки при, хочешь не при — утащишь только «короткую» авторизацию основного домена (который автоматом перебросит на авторизовалку раз, скажем, в 5 минут).
Это из разряда траблов с «юзер ввёл ссылку javascript:...». Обычный же XSS через сам сайт довольно легко побороть — просто не заниматься хернёй и не брать html тем более через get запрос!
Меня только одно вырубает, как некоторые люди поставив никсы, начинают чувствовать себя как за каменной стеной.
Ну скажем так — я осознаю, что серебряной пули нет, и что если не думать о безопасности — то и начилие линукса не поможет.
Но, каюсь, до сего момента был искренне уверен что 99.9% всех «взломов» Вконтакта происходит либо из-за загрузки пользователем очередной «супер-мега-крутой облегчалки/голосовалки/ломалки ВКонтакте» или путем использования дыр Internet Explorer.
Теперь я знаю, что это не так
Но, каюсь, до сего момента был искренне уверен что 99.9% всех «взломов» Вконтакта происходит либо из-за загрузки пользователем очередной «супер-мега-крутой облегчалки/голосовалки/ломалки ВКонтакте» или путем использования дыр Internet Explorer.
Теперь я знаю, что это не так
Ну, социальная инженерия у них пока что хромает. Сообщения, как правило однотипны и в комплекте со ссылкой сразу вызывают подозрения. Учитываячто мнесообщения такого типа приходят от людейкоторые изъясняются совсем по другому.
В линуксе держите запасной браузер, в котором вы нигде не залогинены и будете открывать подозрительные сайты. Использую для этого Эпифани.
С сегодняшнего дня завел для этого Midori. Давно хотел посмотреть :)
Однако «от этого» спаммеры «типа защитились» — ссылка ведет на away.php вконтакта, т.е. если «тупо» скопировать ее — то откроется окно авторизации вконтакте.
P.S. Извините за любовь к «кавычкам»
Однако «от этого» спаммеры «типа защитились» — ссылка ведет на away.php вконтакта, т.е. если «тупо» скопировать ее — то откроется окно авторизации вконтакте.
P.S. Извините за любовь к «кавычкам»
А еще можно использовать режим PrivateBrowsing в FF3.5 и IE8
или используйте фф+noscript
https://addons.mozilla.org/en-US/firefox/addon/722
https://addons.mozilla.org/en-US/firefox/addon/722
Всегда стараюсь отписываться в саппорт хостинга злоумышленника, и вам советую.
по-моему, вас явно предупреждали при переходе по ссылке, что там может быть дерьмо
и что это за сайты такие? vk-foto? onnonochniki?
я прежде чем идти туда — всегда выхожу из контакта и потом иду на корень сайта
как правило, 99.9% — фейк
и что это за сайты такие? vk-foto? onnonochniki?
я прежде чем идти туда — всегда выхожу из контакта и потом иду на корень сайта
как правило, 99.9% — фейк
Вы не поверите — я осознавал что там очередная зараза. Однако был искренне уверен что она меня не коснется :) За что и поплатился
по большому счету, ваша ошибка только в одном — вы забыли разлогиниться
Я настолько суров что написал user-script, который убивает все iframe в принципе, кроме сайтов внесенных в исключения :)
поделитесь ))) а то самому писать лень, а нужен )
такая фича есть в noscript.
Настройки -> Плагины -> Запретить отображение Элементов
Настройки -> Плагины -> Запретить отображение Элементов
Переходите на Оперу, там есть запрет ифреймов :)
иногда сидение под линем воспринимается как режим god_mode = on
блин, а ведь сам видел такую точно атаку только на компе с ХР…
антивирус, что ли поставить на всякий пожарный )))
блин, а ведь сам видел такую точно атаку только на компе с ХР…
антивирус, что ли поставить на всякий пожарный )))
XSS на странице поиска уже старо как сам контакт…
спасибо за информацию, будем знать
а ведь большинство пользователей не разлогиневаются и не только в контакте…
а ведь большинство пользователей не разлогиневаются и не только в контакте…
Вот черти лысые! Спасибо за идею, сам не придумал бы :)
Еще один повод удалить свою страницу ВКонтакте. Как-то неприятно, что при регистрации просят указывать настоящую информацию о себе, а сами не заботятся о безопасности и допускают такие ошибки (про использование GET там, где нужен POST, вообще молчу).
Кстати, они убрали опцию в настройках приватности — «удалить страницу» =)
Верно, но раньше там ещё было приписано: только я (удалить страницу). Также они, по-моему обязались в течение 30 дней удалить все личные данные))
Интересно, можно ли их (админов) на основе закона заставить удалить мои личные данные с сайта?
Естественно, только это будет стоить свыше 9000 голосов!
На самомо деле, не знаю. Я давно пролистывал их пользовательское соглашение, может, они там уже что-нибудь поменяли =)
На самомо деле, не знаю. Я давно пролистывал их пользовательское соглашение, может, они там уже что-нибудь поменяли =)
А изменение имени, они, похоже, недавно сделали платным. Но, думаю, что можно обратиться к администрации с просьбой удалить свою страницу. Они же удаляют спаммеров)
идиотизм. чтобы удалить себя надо стать спамером (((
Правила ВКонтакте допускают использование только настоящих имен в полях Имя и Фамилия. Если Вы по каким-то причинам указали ненастоящее имя при регистрации, либо сменили официальное имя в паспорте, Вы можете изменить имя здесь. Изменение имени ВКонтакте полностью бесплатное, однако для устранения большого количества бессмысленных заявок на изменение имен действует система залогов. Только при действующей залоговой системе администраторы могут рассмотреть все заявки на изменение имен.
Имя меняется только после одобрения администратором.
Изменить имя можно только на настоящее.
Изменить никнейм можно в пункте Изменить никнейм.
Если Вы попытаетесь изменить имя на ненастоящее, заявка будет отклонена и имя не поменяется.
Для изменения имени нужно внести залог 1 голос.
Процедура смены имени полностью бесплатная.
Залог будет возвращен Вам сразу после одобрения смены имени.
Вообще-то по закону ФЗ № 152 «О персональных данных» они обязаны это сделать.
а за что вконтакте отвечает away.php?
Как ни странно — за перенаправления на внешние ссылки. Выводит замечательное предупреждение о опасностях большого интернета.
А еще не дает «хомячкам» ходить на МЕГАОПАСНЫЕ сайты расположенные на narod.ru ucoz.ru и т.п. (что по-моему куда более феерический бред)
Еще вот это очень впечатляет:
— В Контакте | Переход по внешней ссылке
Вы покидаете сайт ВКонтакте.ру по внешней ссылке google.com, предоставленной одним из участников. Администрация ВКонтакте.ру не несет ответственности за содержимое сайта google.com и настоятельно рекомендует не указывать никаких своих данных, имеющих отношение к ВКонтакте.ру (особенно e-mail, пароль и cookies), на сторонних сайтах.
Кроме того, сайт google.com может содержать вирусы, трояны и другие вредоносные программы, опасные для Вашего компьютера. Если у Вас нет серьезных оснований доверять этому сайту, лучше всего на него не переходить, даже если Вы якобы получили эту ссылку от одного из Ваших друзей.
Если Вы еще не передумали, нажмите на google.com.
Если Вы не хотите рисковать безопасностью Вашего аккаунта и компьютера, нажмите отмена.
— В Контакте | Переход по внешней ссылке
Вы покидаете сайт ВКонтакте.ру по внешней ссылке google.com, предоставленной одним из участников. Администрация ВКонтакте.ру не несет ответственности за содержимое сайта google.com и настоятельно рекомендует не указывать никаких своих данных, имеющих отношение к ВКонтакте.ру (особенно e-mail, пароль и cookies), на сторонних сайтах.
Кроме того, сайт google.com может содержать вирусы, трояны и другие вредоносные программы, опасные для Вашего компьютера. Если у Вас нет серьезных оснований доверять этому сайту, лучше всего на него не переходить, даже если Вы якобы получили эту ссылку от одного из Ваших друзей.
Если Вы еще не передумали, нажмите на google.com.
Если Вы не хотите рисковать безопасностью Вашего аккаунта и компьютера, нажмите отмена.
Впечатляет скорее то, для того чтобы решить эту проблему с XSS дыркой в строке поиска нужно потратить от силы минут 10 времени, а дырке этой уже месяцы.
vkontakte.ru/away.php?to=vkontakte.ru
Администрация ВКонтакте.ру не несет ответственности за содержимое сайта vkontakte.ru и настоятельно рекомендует не указывать никаких своих данных, имеющих отношение к ВКонтакте.ру (особенно e-mail, пароль и cookies), на сторонних сайтах.
Кроме того, сайт vkontakte.ru может содержать вирусы, трояны и другие вредоносные программы, опасные для Вашего компьютера. Если у Вас нет серьезных оснований доверять этому сайту, лучше всего на него не переходить, даже если Вы якобы получили эту ссылку от одного из Ваших друзей.
Администрация ВКонтакте.ру не несет ответственности за содержимое сайта vkontakte.ru и настоятельно рекомендует не указывать никаких своих данных, имеющих отношение к ВКонтакте.ру (особенно e-mail, пароль и cookies), на сторонних сайтах.
Кроме того, сайт vkontakte.ru может содержать вирусы, трояны и другие вредоносные программы, опасные для Вашего компьютера. Если у Вас нет серьезных оснований доверять этому сайту, лучше всего на него не переходить, даже если Вы якобы получили эту ссылку от одного из Ваших друзей.
:-) LOL
Вот это прикол.
Они хотябы сделали, список сайтов которым можно доверять и не показывать вот эту пургу.
Но думаю что если такие баги не закрывают то этот список они 3 года делать будут
Вот это прикол.
Они хотябы сделали, список сайтов которым можно доверять и не показывать вот эту пургу.
Но думаю что если такие баги не закрывают то этот список они 3 года делать будут
У контакта еще забанены блоги на blogspot.com, якобы «ссылка сокращение», что вообще полный бред.
А тут куки другого домена не считываются.
Это пассивная XSS. Когда пользователь переходит по ссылке, на страницу подключается вредоносный скрипт, который считается своим (т.к загружается вместе со всема скриптами сайта).
И он уже передает куки на сниффер
Это пассивная XSS. Когда пользователь переходит по ссылке, на страницу подключается вредоносный скрипт, который считается своим (т.к загружается вместе со всема скриптами сайта).
И он уже передает куки на сниффер
Так проблема в чем — благодаря XSS Javascript читающий куки выполняется на странице вконтакте и получается «от имени» ВКонтакте.
А если запрещать передавать информацию другим доменам так, как сделано в этом скрипте, то к примеру «сломаются» все редиректы с помощью javascript во всем интернете
А если запрещать передавать информацию другим доменам так, как сделано в этом скрипте, то к примеру «сломаются» все редиректы с помощью javascript во всем интернете
> то к примеру «сломаются» все редиректы с помощью javascript во всем интернете
Ну и пофиг, нормальные люди редирект делают только через заголовок Location:, в чем проблема?
Единственный аргумент против запрета cross-site scripting — невозможность делать вставить в блог виджет с другого сайта на яваскрипте. Не вижу в этом особой трагедии, пусть через ифрейм вставляют.
Давно пора это запретить, а также разделить по умолчанию куки на локальные и серверные, с ограничением доступа к ним (как флаг httpOnly).
Вообще, любое cross-site взаимодействие несет в себе угрозу безопасности. Даже обычная вставленная в письмо или ЛС пользователем картинка «сливает» хосту, на котором она размещена, реферер (который к примеру может содержать логин, или секретный код). И IP посетителя. А если в качестве картинки вставить ссылку на страницу вконтакте, подверженную CSRF, можно узнать имя/фамилию посетителя :)
Ну и пофиг, нормальные люди редирект делают только через заголовок Location:, в чем проблема?
Единственный аргумент против запрета cross-site scripting — невозможность делать вставить в блог виджет с другого сайта на яваскрипте. Не вижу в этом особой трагедии, пусть через ифрейм вставляют.
Давно пора это запретить, а также разделить по умолчанию куки на локальные и серверные, с ограничением доступа к ним (как флаг httpOnly).
Вообще, любое cross-site взаимодействие несет в себе угрозу безопасности. Даже обычная вставленная в письмо или ЛС пользователем картинка «сливает» хосту, на котором она размещена, реферер (который к примеру может содержать логин, или секретный код). И IP посетителя. А если в качестве картинки вставить ссылку на страницу вконтакте, подверженную CSRF, можно узнать имя/фамилию посетителя :)
все виды фреймов считаются плохим тоном в верстке. по крайней мере я поставил для себя такое правило
гм. а вот фанатов фреймов попрошу к дискуссии!
Есть техническая необходимость, например отправка формы в ифрейм на той же странице — это сегодня единственный (кроме флеша) способ реализовать «фоновую» загрузку файлов на сервер (иногда называемую по незнанию «аякс-загрузчик»)
Также ифреймы используются для вставки виджетов в блог с стороннего сайта, удобство в том, что владелец блога, даже если он туп как пень, легко впишет тег bahtqv в код страницы, и все будет работать без дополнительных извратов.
Сам по себе тег ифрейм не опасен. В верстке, согласен, он не нужен.
Также ифреймы используются для вставки виджетов в блог с стороннего сайта, удобство в том, что владелец блога, даже если он туп как пень, легко впишет тег bahtqv в код страницы, и все будет работать без дополнительных извратов.
Сам по себе тег ифрейм не опасен. В верстке, согласен, он не нужен.
я как раз про то, что он не валиден, а w3c вообще советуют потихоньку отказываться от фреймов всех мастей.
и если подумать то и в сторонних вставка его можно не использовать
и если подумать то и в сторонних вставка его можно не использовать
я наверное поспорил бы…
бывают случаи когда без ифрейма не обойтись… если есть ограничение: неиспользовать флеш
например я в нашем ресурсе написал фоновую загрузку файлов на другой домен… и тут как ни крути без ифрейма не обойтись при всём желании… и даже пришлось использовать для этих целей как раз хитрый xss для организации такой загрузки файлов…
да и просто фоновая загрузка файлов никак иначе не делается если не использовать флеш…
хотя последнее время я всё чаще начинаю засматриваться на флеш как бы мне этого не хотелось :(
бывают случаи когда без ифрейма не обойтись… если есть ограничение: неиспользовать флеш
например я в нашем ресурсе написал фоновую загрузку файлов на другой домен… и тут как ни крути без ифрейма не обойтись при всём желании… и даже пришлось использовать для этих целей как раз хитрый xss для организации такой загрузки файлов…
да и просто фоновая загрузка файлов никак иначе не делается если не использовать флеш…
хотя последнее время я всё чаще начинаю засматриваться на флеш как бы мне этого не хотелось :(
Браузеры как раз не выдадут куки одного домена, если их вызвать из под другого. Почитайте про XSS-уязвимость. К примеру, это дает возможность добавить на оригинальном сайте кусок кода, который будет вызван с оригинального домена и передаст данные о куках.
Находясь там, вы создаёте себе головную боль. Откажитесь от соц-сетей и не будут Вас мучать такие вещи как спам и прочая ахинея соц сетей. Серьёзно.
Ну вроде на хабре эта уязвимость упоминалась. Заметтьте, ничего смертелоьного, просто немного спама.
Слава богу, в Опере ифреймы отключаются. Кстати, защитить сайт от воровства кук не так сложно — достаточно выставить свойство http-only, но видимо авторы вконтакте просто не в курсе (хотя это решение не панацея, так как во первых часть браузеров сливает секретную куку через чтение заголовков ответа XmlHttprequest, и часть не поддерживает этот флаг, а во вторых, оно не защищает от возможной CSRF). Как и видимо, не в курсе про способы защиты от XSS.
Слава богу, в Опере ифреймы отключаются. Кстати, защитить сайт от воровства кук не так сложно — достаточно выставить свойство http-only, но видимо авторы вконтакте просто не в курсе (хотя это решение не панацея, так как во первых часть браузеров сливает секретную куку через чтение заголовков ответа XmlHttprequest, и часть не поддерживает этот флаг, а во вторых, оно не защищает от возможной CSRF). Как и видимо, не в курсе про способы защиты от XSS.
Noscript в данном случае разве не помогает?
Когда получил это сообщение, сразу понял, что это спам, о чем и отписал товарищу xanf. Вот только я тоже думал что с Linux не страшно и пошел по ссылке. Хорошо что xanf вовремя сказал про XSS и я успел перелогинится до того, как от меня спам начал идти.
В тему топика, встречал редиректы на некий сайт www.vkongakte.ru/. Так что, внимательнее читайте URL'ы ссылок, по которым переходите.
и так и не понял. Причём тут Линукс? Дело тут даже не в браузере. А в %username% самом :)
Это все очень интересно, но я никак не могу понять, как может человек в здравом уме повестись на текст, в котором присутствует слово «страничка». Только самые тупые блондинки называют свои профайлы (аккаунты, страницы и тд) «страничками». имхо.
>то что вы пользуетесь Linux еще не защищает Вас от всего
Ну линукс тут совсем не причём. Куки и в Африке будут куками.
Ну линукс тут совсем не причём. Куки и в Африке будут куками.
ну что ж? и презервативы не дают 100% уверенности)
А вы заметили, какой «забавный» комментарий стоит в самом начале HTML-кода страницы vk-foto.ru?
Уберите ссылки из поста, оставьте просто подчеркнутый текст. Кто-то может не прочитать предупреждение и просто автоматом кликнуть по ссылке!
XSS В контакте может привести к удалению всех пользовательских данных, однако сменить пароль (который в захеширован в remixpass) или e-mail не удастся. Тоесть впринципе владелец сохранит голоса и анкету.
Итого имеем: возможность на непродолжительное время управлять аккаунтом жертвы до старта новой сессии или нажатия волшебной кнопки «Выйти».
Полезного на мой взгляд из этого: аккаунты с голосами в приложениях, конфиденциальная информация и пополнение СПАМ базы e-mail.
Или уже кто-то знает алгоритм хеширования пароля О_о?
Итого имеем: возможность на непродолжительное время управлять аккаунтом жертвы до старта новой сессии или нажатия волшебной кнопки «Выйти».
Полезного на мой взгляд из этого: аккаунты с голосами в приложениях, конфиденциальная информация и пополнение СПАМ базы e-mail.
Или уже кто-то знает алгоритм хеширования пароля О_о?
Между прочим, с других ресурсов знаю, что дуров неплохо платит за найденные баги.
Сам недавно наткнулся на фрилансе: ссылка на пример в проекте уводила куки :( все пароли менять пришлось…
автор, вы опоздали. эта тема уже освещалась на хабре, причём предыдущему оратору, для того, чтобы донести информацию об xss до читателя, понадобилось гораздо меньше букв
Я все запросы в эту быдлосеть на домашнем роутере дропаю. Пакета там не будет ни моего, ни кого-либо из домашних.
Вчера ВКонтакте пришел спам, в котором была ссылка вида www.vkontakte.ru/some-url.
Вот только вместо последней «e» перед точкой в урле была «е» с хвостиком из раскладки для европейских языков. Ооочень малозаметно.
Вот только вместо последней «e» перед точкой в урле была «е» с хвостиком из раскладки для европейских языков. Ооочень малозаметно.
Недавно нашел странную вещь в приложениях.
Просто случайно зашел на страничку с приложением и тут же оказался добавленым в группе этого приложения.
Просто случайно зашел на страничку с приложением и тут же оказался добавленым в группе этого приложения.
я лично на компе у подруги, с ее многочисленными сестрами, сделал проще
поставил Firefox + Noscript и поставил галочку «чистить куки при выходе»
так как девушки часто не спецы по ИТ, то не трогают в настройках того чего не понимают
поэтому Noscript не дает работать скриптам на не понятных/не разрешенных сайтах
безопасность повышается!
поставил Firefox + Noscript и поставил галочку «чистить куки при выходе»
так как девушки часто не спецы по ИТ, то не трогают в настройках того чего не понимают
поэтому Noscript не дает работать скриптам на не понятных/не разрешенных сайтах
безопасность повышается!
Спасибо, очень хорошая статья. Надеюсь вы не будете против, если я размещу её на своём сайте, с сылкой на оригинал?
Давно там не был, уже 2 или 3 года как =)
отключены iframe в опере…
код 404 или 200 не принципиальная разница, просто поленились выставить
Вроде как пофиксили О_о
Че вы все на Пашу накинулись.
Он можно сказать новый национальный вид спорта создал.
«Хакни Вконтакте»
И по мере сил не дает ему загнуться :-)
Он можно сказать новый национальный вид спорта создал.
«Хакни Вконтакте»
И по мере сил не дает ему загнуться :-)
аналогичная история была у оной моей студентки на Убунту
лазила по инетам не разлогнилаь в контакте — удаились се друзья и убился профиль — профиль восстановили — а друзей ручкми
есть простое и красивое решение зовётся prism
делаем отдельную призму для контакта и не беспокоимся *)
лазила по инетам не разлогнилаь в контакте — удаились се друзья и убился профиль — профиль восстановили — а друзей ручкми
есть простое и красивое решение зовётся prism
делаем отдельную призму для контакта и не беспокоимся *)
ОМГ, запомни боец, параноик не регистрируется в быдлосоцсетях, не оставляет незнакомым дядям свои личные данные.
Товарищи будьте осмотрительнее, и будет вам счастье!
Товарищи будьте осмотрительнее, и будет вам счастье!
Собственно удивление было связано с тем, что:
1. Я использую Linux и только Linux везде где только можно.
2. ВКонтакт используется только из дома опять же сугубо из-под Linux
…
Ппц блин. Типа линукс панацея. Сами ведь линуксоиды знают, что это не так, но никогда не упустят возможность выпендриться «у меня же линукс!»
1. Я использую Linux и только Linux везде где только можно.
2. ВКонтакт используется только из дома опять же сугубо из-под Linux
…
Ппц блин. Типа линукс панацея. Сами ведь линуксоиды знают, что это не так, но никогда не упустят возможность выпендриться «у меня же линукс!»
Спасибо за расследование.
Может быть тут есть люди готовые собрать команду для таких расследований? Подумайте, такие команды профессионалов могут быть востребованы крупными проектами или соц.сетями.
К примеру одна из последних проблем вконтакте — «цифровые наркотики». Почти всех друзей взломали, под их логинами создаются группы соответствующей тематики и рассылаются приглашения вступить, создаются фотоальбомы, выкладываются фотографии (надпись внизу фото audiodrug.ru, ссылка внизу фото на drugs5.webng.com), на фотографиях отмечаются не только друзья, но и вообще все подряд не понятно по какому принципу.
Группы рекламируются в объявлениях, то есть кто-то это активно спонсирует. Ребята умудряются эти бинауральные записи продавать. Пишут, что это безопасно. Но ведь это не так.
Бинауральные записи уже обсуждались здесь: habrahabr.ru/blogs/i_am_insane/47912/ и habrahabr.ru/blogs/i_am_insane/47946/
В общем, проблема-то не столько в спаме, сколько в возможной опасности для людей.
Может быть тут есть люди готовые собрать команду для таких расследований? Подумайте, такие команды профессионалов могут быть востребованы крупными проектами или соц.сетями.
К примеру одна из последних проблем вконтакте — «цифровые наркотики». Почти всех друзей взломали, под их логинами создаются группы соответствующей тематики и рассылаются приглашения вступить, создаются фотоальбомы, выкладываются фотографии (надпись внизу фото audiodrug.ru, ссылка внизу фото на drugs5.webng.com), на фотографиях отмечаются не только друзья, но и вообще все подряд не понятно по какому принципу.
Группы рекламируются в объявлениях, то есть кто-то это активно спонсирует. Ребята умудряются эти бинауральные записи продавать. Пишут, что это безопасно. Но ведь это не так.
Бинауральные записи уже обсуждались здесь: habrahabr.ru/blogs/i_am_insane/47912/ и habrahabr.ru/blogs/i_am_insane/47946/
В общем, проблема-то не столько в спаме, сколько в возможной опасности для людей.
только что впервые прилетело на почту сообщение из вконтакта о том, что я якобы рассылал спам. Юзаю линух, 10ю оперу, да, у меня стоит галка «запомнить меня», вроде бы на левые ссылки не нажимаю никогда. У друзей спросил — к ним никаких сообщений не прилетало, у меня в сообщениях все нормально.Что-то в этом мире не так, почему я хожу по совершенно другим сайтам и от меня рассылается спам на вконтакте? По-мойму пользователь не виноват, если зашел на «плохой» сайт. Почему тогда специалисты рекомендуют не ставить галочки на «запомнить меня», но разработчики сайтов делают эти галочки? Почему разработчики сайтов не рекомендуют ходить по неизвестным сайтам, но не говорят как четко определить опасен ли сайт XXX.com?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как стать разносчиком спама ВКонтакте из-за любопытства