Комментарии 100
Долой Ализара! Даешь компетентные топики!
Завтра отключаю интернет
Галактико опасносте :-)
Народу что-то нет — видимо убежали паниковать :D
Хм… странный топик. Та статья называлась «Фундаментальный баг...». Что такое фундаментальность объяснять не нужно? По моему, уже одно это подразумевает, что он старый. Предположительно такой же старый как сам флеш. А дальше идёт куча текста про то, что и кроме флеша «везде-кругом» если не хуже, то так же плохо с багами. Т.е. такой текст в стиле «не надо говорить как плохо тут, потому что вокруг ещё хуже» по логике пускай сначала все остальные станут белыми и пушистыми, а потом уж и мы подумаем над этим. Неконструктивная у Вас, valyard, логика.
Все хорошо у меня с логикой. Товарищ выдергивает фундаментальные баги из контекста обзывая их багами флэша, которыми они не являются хотябы в силу своей фундаментальности, а уходят куда-то фундаментальнее вниз.
Хм… но почему-то знаменитый баг в XP, когда jpg совмещали с исполняемым кодом — исправили не ссылаясь на более глубокую фундаментальность. А этот решили не исправлять под вот такого рода отмазками. И это на самом деле стоит внимания и негодования.
к сожалению, я не в курсе про этот баг с jpg, но почему-то мне кажется, что исправили его не товарищи из Joint Photographic Experts Group, а Microsoft. аналогия с swf проводится элементарно. или кто-то орал по интернетам, чтобы запретить jpg и о его фундаментальной багованности.
Вот и проводя аналогию, считаю, а почему бы и не отмазываться какой-то глубокой фундаментальность, а тупо взять и закрыть данный баг?
P.S.: А о баге по интернетам кричали. Это был рассвет PNG. =)
P.S.: А о баге по интернетам кричали. Это был рассвет PNG. =)
В аналогия Adobe сравнивается не с майкрософтом, а как раз с Joint Photographic Experts Group, и закрывать багу должен совсем не Adobe, он скорее пострадавший от чужих ошибок.
В любом случае, есть выбор — отмазываться дальше или исправлять существующее положение вещей. Первое не делает чести.
??? Вы и правда не понимаете? В «баге с жпегом» баг исправляла микросовт, а не JPEG. И было бы крайне странно, если бы ребята из группы разработки стандарта этого графического формата стали исправлять этот баг. Ну, так вот пришли в микросовт и говорят — дайте нам исходники хр, мы тут ваш баг исправим. :).
Думаю, что этот баг можно достаточно легко исправить не имея исходников xp. Проблема будет в распространении фикса.
Блин. Микрософт исправила баг почему? Потому что вьюер джипега был Микрософта. В случае с флешем и формат и плеер — оба Адобовские. Что я ещё не понимаю?
код передающий данные пользователя флеш-плагину находится в браузере. и это задача браузера решать кому и что можно давать, а не полагаться на честность плагиностроителей.
оха. и конечно совсем не задача плагина проверять что и под каким видом ему дают? может и защиту от переполнения буфера повесить на браузер? а при чём тут бразузер — давайте сразу на Ос всё спихнём? хотя и ОС не виноватая — это всё задачи BIOS'а! ;)
задача плагина состоит исключительно в проверке данных на пригодность к использованию этим плагином. задача браузера состоит в разграничении прав доступа на отдаваемые им данные. зачем ему отдавать что-то тому, кто не имеет права этим пользоваться? отдача приватных данных потенциально опасному third-party коду это дырка. причем это потенциальная дырка даже в случае своего собственного кода — вероятность накосячить в одном из нескольких плагинов сильно возрастает, если проверку делать не одну на всех при отдаче, а у каждого свою при получении данных.
поиск крайнего и отмазки. проверка валидности на входе — прямая обязанность имеющего вход. тот кто ему это сунул — тоже виноват. но вины принявшего (и исполнившего!) это не отменяет. всем спасибо, все свободны.
не я тут ищу крайнего.
передающий никогда не может быть уверен в безопасности принимающего и никогда не должен ему доверять. а значит отдав больше данных, чем надо, он автоматически виноват. остальное не важно.
передающий никогда не может быть уверен в безопасности принимающего и никогда не должен ему доверять. а значит отдав больше данных, чем надо, он автоматически виноват. остальное не важно.
аха. виноват не тот кто выстрелил, а тот кто ему продал оружие. остальное не важно =)))
виноват тот, кто продает оружие не проверяя разрешение на стрельбу из него. остальное не важно.
special for trolls: не важно != стрелок не виноват.
special for trolls: не важно != стрелок не виноват.
Бггг. И я же тролль. =))) У психа в супермаркете разрешение было. ;) Всё же проверка безопасности — общая задача, не хрен её спирать на кого-то.
и чему же это это противоречит? я разве сказал, что кроме продавца никто не должен заниматься безопасностью? я говорил только то, что продавец _обязан_ это делать. а не _надеяться_ на то, что покупатель не псих.
вот и я говорю, что проверка должна быть не только у браузера. а вы тут упрямитесь оптом. =)
А вы можете даже теоретически предположить что тот топик – воздух?
Фундаментальный баг — наличие прокладки между стулом и компьютером. Слава роботам!
Разруха не в технологиях, разруха в головах.
Ай как страшно…
Вы не мистер Фриман случайно? Очень схоже кумекаете :)
«Я с умилением смотрю на таких людей, как вы, господа. Ибо знания ваши ничтожны, и находитесь вы в счастливом неведении.»
Неужели вы знаете все? И ответ на главный вопрос жизни, всленной и всего такого???
Неужели вы знаете все? И ответ на главный вопрос жизни, всленной и всего такого???
Я знаю достаточно в паре-тройке областей, чтобы жалеть об этом. Если кто-то сможет узнать все, он сойдет с ума.
ответ — фигня. главное — вопрос
Знаете, нужно быть менее параноиком.
В худшем случае, есть разные плагины к браузерам, которые позволяют в некой степени защитится от различных пассивных XSS, айфреймов и т.д.Пример — специфически сконфигурированный фаерфокс в дистрибутиве BackTrack, там, при переходе на след. страницу по 10 раз спрашивает, исполнять ли определенный скрипт или нет. За пол часа иссякает запас всех нервов
Если уж сильно мучает бессонница — отключайте исполнение всех возможных клиентских скриптов и т.д. и т.п., этим же возвращаясь в «каменный век».
Никто не застрахован, ИМХО. И с этим нужно смерится
В худшем случае, есть разные плагины к браузерам, которые позволяют в некой степени защитится от различных пассивных XSS, айфреймов и т.д.Пример — специфически сконфигурированный фаерфокс в дистрибутиве BackTrack, там, при переходе на след. страницу по 10 раз спрашивает, исполнять ли определенный скрипт или нет. За пол часа иссякает запас всех нервов
Если уж сильно мучает бессонница — отключайте исполнение всех возможных клиентских скриптов и т.д. и т.п., этим же возвращаясь в «каменный век».
Никто не застрахован, ИМХО. И с этим нужно смерится
дописал P.S. внизу
надо проверить это с флэшом
я всю жизнь был наивно уверен в поддоменах и adobe об этом пишет на каждом углу
я всю жизнь был наивно уверен в поддоменах и adobe об этом пишет на каждом углу
Там немного другая ситуация, domen и sub.domen
если использовать www.domen и sub.domen то все работает как положено
если использовать www.domen и sub.domen то все работает как положено
Брррр…
me\ Стирает с лица слюни разбрызганные оратором.
Автор Вы правы, но повторяя мантру «меньше знаешь крепче спишь»,
вы забыли еще одну полезную «метать бисер перед свиньями» —
если вы так уверены, что большая часть аудитории, это существа, которые
не могут сами анализировать ситуацию, то бесполезно что либо им объяснять, потому что
потом придет третий оратор и скажет, что это Вы не правы. А толпа поверит ему.
me\ Стирает с лица слюни разбрызганные оратором.
Автор Вы правы, но повторяя мантру «меньше знаешь крепче спишь»,
вы забыли еще одну полезную «метать бисер перед свиньями» —
если вы так уверены, что большая часть аудитории, это существа, которые
не могут сами анализировать ситуацию, то бесполезно что либо им объяснять, потому что
потом придет третий оратор и скажет, что это Вы не правы. А толпа поверит ему.
> Javascript, через который в дыры пролазят другие клиентские технологии: флэш, ява, сервелат.
В какие дыры жабаскрипта «пролазит» «сервелат»? И что это вообще за слово — «сервлет» не смог написать?
В какие дыры жабаскрипта «пролазит» «сервелат»? И что это вообще за слово — «сервлет» не смог написать?
Согласен с автором что куча есть и будет дыр которые мы не знаем.
Согласен, и даже минуту назад было интересно увидеть от него хоть одну конкретную дырку раз столько слов.
Но сейчас интерес пропал, ведь действительно: «Меньше знаешь — крепко спишь».
Согласен, и даже минуту назад было интересно увидеть от него хоть одну конкретную дырку раз столько слов.
Но сейчас интерес пропал, ведь действительно: «Меньше знаешь — крепко спишь».
я не хочу писать на весь интернет, мол сделайте так и так и у вас будут все пароли мира
мало ли детей тут ошивается
мало ли детей тут ошивается
ух ты, дети-то недовольны!
Дети недовольны тем, что вы кричите про глобальные уязвимости, а воспользоваться ими реально сами не можете. А в той статье хоть рабочий пример был.
рабочий пример — это то видео в котором никто не понял что именно произошло?
точно, весь из себя такой пример
точно, весь из себя такой пример
Что там произошло — понятно. На сервер гугловской почты заливается нужный файл (подразумевается, что это флеш), который запускается пользователем с другого сайта. Как только пользователь авторизуется в гугле, стягиваются его кукисы. Дальше скрипт открывает ящик, забирает всю почту и даже оставляет ответ с благодарностью )
Как конкретно нужный файл был помещён на гугл и как к нему был получен прямой доступ — технические тонкости, знать которые всем не положено.
Как конкретно нужный файл был помещён на гугл и как к нему был получен прямой доступ — технические тонкости, знать которые всем не положено.
> Почему же вы тогда все еще живы?
точно. наверное, как-только применят свои тайные знания, всякие хакеры, чтобы достать мой пароль от гугла/вконтакта, я умру. логично же.
А вообще, мне кажется, автор не осведомлён, что живёт не на самой защищённой планете во Вселенной — сюда в любой момент могут высадится злобные пришельцы, упасть метеорит, размером с Техас, или ещё какая катастрофа может случиться. Действительно, "… знания ваши ничтожны, и находитесь вы в счастливом неведении."
Жить опасно! И Интернет, как часть нашей жизни, тоже опасен. Но трястись каждый раз когда открываешь браузер, или даже, когда запускаешь компьютер (вдруг загорится?)…
Каждый сам решает, стоит ли идти в тёмный переулок; стоит ли использовать сайт, написанный каким-то Васей (это гипотетический Вася, не обижайтесь реальные), для хранения номеров и PIN-ов, своих кредиток; стоит ли выходить на улицу/в Интернет вообще. Да, все должны грамотно оценивать свои шансы во что-нибудь вляпаться, но кричать перед толпой: «вы все просто наивные идиоты! вы же даже не знаете, что достаточно метеорита, немного больше вас самих, и город, который вы знали, может перестать существовать в любой момент!», имхо, по меньшей мере, не стоит тех помидор, которые полетят в такого оратора.
P.S. выразил мнение на счёт позиции автора. ни в коем случае, не хочу никого обидеть или как-то задеть. мир, дружба, жвачка :)
точно. наверное, как-только применят свои тайные знания, всякие хакеры, чтобы достать мой пароль от гугла/вконтакта, я умру. логично же.
А вообще, мне кажется, автор не осведомлён, что живёт не на самой защищённой планете во Вселенной — сюда в любой момент могут высадится злобные пришельцы, упасть метеорит, размером с Техас, или ещё какая катастрофа может случиться. Действительно, "… знания ваши ничтожны, и находитесь вы в счастливом неведении."
Жить опасно! И Интернет, как часть нашей жизни, тоже опасен. Но трястись каждый раз когда открываешь браузер, или даже, когда запускаешь компьютер (вдруг загорится?)…
Каждый сам решает, стоит ли идти в тёмный переулок; стоит ли использовать сайт, написанный каким-то Васей (это гипотетический Вася, не обижайтесь реальные), для хранения номеров и PIN-ов, своих кредиток; стоит ли выходить на улицу/в Интернет вообще. Да, все должны грамотно оценивать свои шансы во что-нибудь вляпаться, но кричать перед толпой: «вы все просто наивные идиоты! вы же даже не знаете, что достаточно метеорита, немного больше вас самих, и город, который вы знали, может перестать существовать в любой момент!», имхо, по меньшей мере, не стоит тех помидор, которые полетят в такого оратора.
P.S. выразил мнение на счёт позиции автора. ни в коем случае, не хочу никого обидеть или как-то задеть. мир, дружба, жвачка :)
Опять в интернете кто-то не прав. Ну надо же. Очень хороший Вы выбрали тег к статье — «Желтизна». В каждом посте есть несогласные, но почему-то у них хватает ума не создавать на волне своих эмоций антипост с прописными истинами. Они ограничиваются комментариями.
На Ваше «Меньше знаешь — крепче спишь» я отвечу: «Информация опасна только тем, кто ей не обладает.»
На Ваше «Меньше знаешь — крепче спишь» я отвечу: «Информация опасна только тем, кто ей не обладает.»
вы как-то путаете несогласие с неправдой
Да, и где же автор изначального топика солгал?
«Это не баг» — а что же это? Фича? Недокументированная возможность? Так изначально и планировали?
«Это не уязвимость именно флэша» — Это уязвимость не только флеша, Вы это имели в виду?
«Это чрезвычайно бородатая уязвимость-то на самом деле» — уязвимость старая, способ ее использования новый.
«Это не баг» — а что же это? Фича? Недокументированная возможность? Так изначально и планировали?
«Это не уязвимость именно флэша» — Это уязвимость не только флеша, Вы это имели в виду?
«Это чрезвычайно бородатая уязвимость-то на самом деле» — уязвимость старая, способ ее использования новый.
> «Это не баг» — а что же это? Фича? Недокументированная возможность? Так изначально и планировали?
да, так изначально планировали. изначально планировали систему безопасности доменов. и я писал об этом. кто-то когда-то решил, что если файл публично виден на домене, значит он trusted. а вы о чем? или вы хотели сказать «изначально планировали систему чтобу тырить куки?»
> «Это не уязвимость именно флэша» — Это уязвимость не только флеша, Вы это имели в виду?
вы путаете категории и вложенность. это уязвимость политики безопасности и браузера.
> «Это чрезвычайно бородатая уязвимость-то на самом деле» — уязвимость старая, способ ее использования новый.
способ такой же старый. если у вас голова в песке, это не значит, что мира вокруг вас нет.
да, так изначально планировали. изначально планировали систему безопасности доменов. и я писал об этом. кто-то когда-то решил, что если файл публично виден на домене, значит он trusted. а вы о чем? или вы хотели сказать «изначально планировали систему чтобу тырить куки?»
> «Это не уязвимость именно флэша» — Это уязвимость не только флеша, Вы это имели в виду?
вы путаете категории и вложенность. это уязвимость политики безопасности и браузера.
> «Это чрезвычайно бородатая уязвимость-то на самом деле» — уязвимость старая, способ ее использования новый.
способ такой же старый. если у вас голова в песке, это не значит, что мира вокруг вас нет.
Торжество справедливости. Быть добру.
Кстати, автор очень даже прав на счет XSS.
Если помните, то где-то неделю назад тут были статьи о том, как у человека увели непонятным способом Яндекс-деньги. Как оказалось в итоге, у него увели куки через этот самый XSS и таким образом залогинились в его аккаунт.
И буквально несколько дней назад сам столкнулся с такой проблемой. На родном Хабре у меня увели инвайты: то есть выслали несколько штук от моего имени. Вариантов кражи/подбора паролей ни к Хабру, ни к почте быть не могло. Так же и за моим рабочим местом никто сидеть не мог. Поразмыслив, а затем наткнувшись на статью о Яндекс деньгах, решил, что скорее всего тоже столкнулся с XSS — ибо пройти по вредоносной ссылке — это единственное, что я мог сделать.
После этого поставил на ФФ Noscript.
Если помните, то где-то неделю назад тут были статьи о том, как у человека увели непонятным способом Яндекс-деньги. Как оказалось в итоге, у него увели куки через этот самый XSS и таким образом залогинились в его аккаунт.
И буквально несколько дней назад сам столкнулся с такой проблемой. На родном Хабре у меня увели инвайты: то есть выслали несколько штук от моего имени. Вариантов кражи/подбора паролей ни к Хабру, ни к почте быть не могло. Так же и за моим рабочим местом никто сидеть не мог. Поразмыслив, а затем наткнувшись на статью о Яндекс деньгах, решил, что скорее всего тоже столкнулся с XSS — ибо пройти по вредоносной ссылке — это единственное, что я мог сделать.
После этого поставил на ФФ Noscript.
Знаете ли вы, что в ваших браузерах до сих пор гуляют сквозняки через огромные дыры в безопасности?
Знаете ли вы, что есть полно способов обмануть даже Google и вытащить ваши пароли даже из корпорации зладобра?
А пруфлинки будут?
Знаете ли вы, что есть полно способов обмануть даже Google и вытащить ваши пароли даже из корпорации зладобра?
А пруфлинки будут?
А как он в том топике пролез на gmail.com?
Меня после фильма 2012 такие проблемы уже не пугают.
Все беды — от инвалидов-производителей бразузеров и станжартов. разрешающих 3rd party активное содержимое. И от вещей типа Content type sniffing, когда сервер отдает png с типом text/plain, а бразер все равно отображает его как картинку, если файл укаазн в [img src=...] (вот за это вообще убивать надо)!
Я так понимаю, Content-type sniffing был сделан из-за большого кол-ва криво настроенных серверов, не отдававших правильный тип файла. Почему надо отображать левые файлы, вмсето того, чтобы вправить мозги криворуким вебмастерам. я искренне не понимаю.
> Например, что можно объединить GIF + JAR (он же zip), PDF + JAR и этот файл будет валидным pdfом и валидным jarом в одно и то же время?
Дык если у него расширение .gif — у него тип image/gif, и толку от того, что к нему приклеен JAR? Правильный (не существующий в природе, лол) браузер отобразит картинку и все. В чем риск? Вот реальный риск — это когда png-картинка в начале содержит тег типа [html][script..], и тупая майкрософтовская поделка *интерпретирует* картинку как HTML документ (с выполнением скрипта в нем).
В общем мое мнение — веб-стандарты, технологии для серверного программирования, и реализации браузеров должны были быть по дефолту безопасными. Возьмите язык парсер — там выводимые данные автоматически экранируются, так что, чтобы сделать XSS, надо *специально* написать соответствующий параметр, о котором начинающий программист может быть и не в курсе. То же с параметрами SQL-выражений.
Несмотря на то, что сам Парсер — ограниченная, в общем-то домашняя поделка, с плохим синтаксисом, но с этой точки зрения (tainted/untainted data) он сделан грамотно.
Я так понимаю, Content-type sniffing был сделан из-за большого кол-ва криво настроенных серверов, не отдававших правильный тип файла. Почему надо отображать левые файлы, вмсето того, чтобы вправить мозги криворуким вебмастерам. я искренне не понимаю.
> Например, что можно объединить GIF + JAR (он же zip), PDF + JAR и этот файл будет валидным pdfом и валидным jarом в одно и то же время?
Дык если у него расширение .gif — у него тип image/gif, и толку от того, что к нему приклеен JAR? Правильный (не существующий в природе, лол) браузер отобразит картинку и все. В чем риск? Вот реальный риск — это когда png-картинка в начале содержит тег типа [html][script..], и тупая майкрософтовская поделка *интерпретирует* картинку как HTML документ (с выполнением скрипта в нем).
В общем мое мнение — веб-стандарты, технологии для серверного программирования, и реализации браузеров должны были быть по дефолту безопасными. Возьмите язык парсер — там выводимые данные автоматически экранируются, так что, чтобы сделать XSS, надо *специально* написать соответствующий параметр, о котором начинающий программист может быть и не в курсе. То же с параметрами SQL-выражений.
Несмотря на то, что сам Парсер — ограниченная, в общем-то домашняя поделка, с плохим синтаксисом, но с этой точки зрения (tainted/untainted data) он сделан грамотно.
>>То есть тебе Вася присылает ссылку типа зайди сюда, ты тыкаешь и видишь этот SWF…
Чтобы я увидел этот SWF, сервер должен отдать правильный Content-Type, не? (забудем об уже упомянутом баге в IE6). И если этот SWF заливали под видом jpg — то я увижу именно jpg! Где повод для паники?
Чтобы я увидел этот SWF, сервер должен отдать правильный Content-Type, не? (забудем об уже упомянутом баге в IE6). И если этот SWF заливали под видом jpg — то я увижу именно jpg! Где повод для паники?
> In the gmail exploit, however, the payload was uploaded as a .jpg image, served up with image/jpg headers, and loaded into an tag on my attacking server. The browser decides which plugin to load the embedded file with based on the content-type attribute of the embed tag. The Flash plugin, in turn, does not validate the MIME type of the file- if it looks like a flash format, it will try to execute it. This is the basis for the content overloading attacks mentioned in the original post.
где-то в коментах из
www.foregroundsecurity.com/MyBlog/flash-origin-policy-issues.html
где-то в коментах из
www.foregroundsecurity.com/MyBlog/flash-origin-policy-issues.html
Давайте лучше поподробнее про то как вытаскиваются сохраненные в ФФ пароли при включенном их шифровании.
Автар знатный боянист и открыватель Америки, статья о прописных истинах. Еще ЛЕО (Каганов) шутил с картинками призывая слезать с IE и винды. XSS есть и будет, с этой уязвимостью борятся как на серверной части, так и на клиентской. Причем здесь несколько рубежей защиты браузер, программы для комплексной защиты ПК, самой пользователь, который не ложит все яйца в одну корзину, что бы даже если, что вред был минимальным и старается важное не хранить в куках.
Фундаментальный баг — в смешении кода и данных. Во времена х86 он проявлялся как выход за границу стека, сейчас как xss и код в JPG/PDF файлах.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Меньше знаешь — крепче спишь, или хватит выдергивать информацию из контекста