Комментарии 81
Самое время сменить пароли, если переходили по «инфицированным» видео и воздержаться от просмотра видео на страницах youtube.com пока уязвимость не пофиксили! Что самое страшное: в страницу вполне можно внедрить (и внедряют) Javascript код с каким-нибудь cookie-сниффером. Вот так вот, одна ошибка в коде огромного портала может привести к тотальной угрозе для всех его пользователей.
+10
НЛО прилетело и опубликовало эту надпись здесь
У многих кстати это часть единого аккаунта гугла
+38
НЛО прилетело и опубликовало эту надпись здесь
Почту заводят не для того чтобы там спам держать, а для каких-то личных вещей. Личное — важно.
+6
да не кормите тролля
+24
А нефиг почту на SaaS'ах держать ;)
+5
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
товарищ приверженец мэйлру?
0
Вот если бы это предупреждение в посте перед ссылками поставили, цены бы не было =)
+5
Насколько я знаю, авторизация у Ютуба, как и у других сервисов Гугла, проходит только на https://google.com/account, и автоиризационные куки с ютуба не упрешь, а сессионная кука, наверно, быстро сдохнет, и теоретически мождет быть привязана к Ip адресу.
+4
Там стоит HttpOnly кука, так что пофиг.
0
Ужас.
0
Наткнулся на это 5 минут назад.
+1
Если iframe, то это жестко.
+3
НЛО прилетело и опубликовало эту надпись здесь
Ну, спереть пароли-куки-пр. через iframe нельзя.
-1
Троянов часто через фреймы раздают.
Есть очень много партнерок, которые покупают такой трафик.
Думаю на ютубе трафика много :)
Есть очень много партнерок, которые покупают такой трафик.
Думаю на ютубе трафика много :)
+3
НЛО прилетело и опубликовало эту надпись здесь
А если у меня линукс? Я не с подковыркой спрашиваю, просто интересно, чисто теоретически. Куки то оно понятно, а вот трояны пока что не для всех ведь делают?
0
Линукс не важен.
-2
Ой да ладно вам :)
Ещё никто не отменял сплоиты под программмы для линукса. Тут дело даже не в ОС, а в том, какой софт вы используйте.
Если не с подковыркой, то я с удовольствием отвечаю на Ваш вопрос.
Ботнеты можно на сотовых телефонах, и на тостерах и холодильниках создать, что уж говорить про устройства где установлена никсоподобная ОС.
Руткиты существуют под многие ОС. Вполне возможно, с ростом популярности Убунты (это для примера) появятся с публичных связках сплоиты для получения рута, а там уже и троян не плохо будет себя чувствовать.
Всё дело времени :)
Ещё никто не отменял сплоиты под программмы для линукса. Тут дело даже не в ОС, а в том, какой софт вы используйте.
Если не с подковыркой, то я с удовольствием отвечаю на Ваш вопрос.
Ботнеты можно на сотовых телефонах, и на тостерах и холодильниках создать, что уж говорить про устройства где установлена никсоподобная ОС.
Руткиты существуют под многие ОС. Вполне возможно, с ростом популярности Убунты (это для примера) появятся с публичных связках сплоиты для получения рута, а там уже и троян не плохо будет себя чувствовать.
Всё дело времени :)
0
YouTube status:
[ ] Told
[x] FUCKING TOLD
[ ] Told
[x] FUCKING TOLD
-7
Люди ошибаются.
0
НЛО прилетело и опубликовало эту надпись здесь
«Комментарии к этому видео скрыты в соответствии с настройками безопасного режима. Показать скрытые комментарии „
Оперативно видимо работают.
Оперативно видимо работают.
+2
пофиксили
+1
ютубовци оперативный народ!
-2
да на многих крупных проектах есть XSS уязвимости.
Для примера, не очень опасный xss, Вконтакте — загрузка аудиофайлов.
Если в свойствах мп3 в поле «Исполнитель» вписать '+alert+' и загрузить — выскочит алерт.
Для примера, не очень опасный xss, Вконтакте — загрузка аудиофайлов.
Если в свойствах мп3 в поле «Исполнитель» вписать '+alert+' и загрузить — выскочит алерт.
+4
Может кто-нибудь объяснить, почему это возможно? Разве YouTube позволяет вставлять в комментарии какие-либо теги (bb или html)? Если нет, то почему они просто не заменяет все html символы на спец. коды?
+4
гугл его знает.
+5
Видимо вся соль в IF_HTML_FUNCTION?
Каким то образом ломается вырезалка html
Каким то образом ломается вырезалка html
-1
Если заменять знаки <> на их HTML сущности, то ничего вырезать не надо. Не понимаю, почему зачастую предпочитают вырезать теги.
+4
чтобы оставить чистый текст, очевидно.
-1
Чего за минуса? :)
Это же очевиндо зачем вырезают html-сущности в тех местах, где их нельзя использовать.
Если человек напишет какой нибудь комментарий и использует в нем всякие и еще 100500 тегов, обычному человеку такой текст прочитать в мешанине тегов если просто заменить < и > на < > будет сложно.
Если же вырезать html-сущености совсем то останется прсто чистый неформатированный текст, который будет удобен для чтения
Это же очевиндо зачем вырезают html-сущности в тех местах, где их нельзя использовать.
Если человек напишет какой нибудь комментарий и использует в нем всякие и еще 100500 тегов, обычному человеку такой текст прочитать в мешанине тегов если просто заменить < и > на < > будет сложно.
Если же вырезать html-сущености совсем то останется прсто чистый неформатированный текст, который будет удобен для чтения
0
Посмотрим со стороны пользователя:
Я хочу видеть свое сообщение так, как я его написал. Почему мне не дают писать сообщения так, как я хочу? Безопасность безопасностью, а палки в колеса пользователю вставлять не надо.
Если в комментарии стопицот тегов, то зачем его читать? Если бы автор сообщения хотел донести свою мысль, он бы не стал «обфусцировать» свой коммент.
P.S. Минусовал не я.
Я хочу видеть свое сообщение так, как я его написал. Почему мне не дают писать сообщения так, как я хочу? Безопасность безопасностью, а палки в колеса пользователю вставлять не надо.
Если в комментарии стопицот тегов, то зачем его читать? Если бы автор сообщения хотел донести свою мысль, он бы не стал «обфусцировать» свой коммент.
P.S. Минусовал не я.
+4
ну там где нельзя использовать html обычно прямо пишут что там нельзя использовать html и => весь html вырезается.
Мне кажется это нормально. Если есть желание вставить какой-то html-код в сообщение, то для этого есть специальные теги
Мне кажется это нормально. Если есть желание вставить какой-то html-код в сообщение, то для этого есть специальные теги
<pre>
-1
А я бы не палил эту тему в паблик а использовал ее по максимуму для выжима бабла этой вкусной темы. И к черту этику и всякие бла-бла-бла о морали.
-30
А потом удивляемся =)
+11
откуда знаете, что по максимуму уже не выжали из этой вкусной темы? )
или, возможно, эта вкусная тема лишь отвлекающий маневр от какой-нибудь другое, еще более вкусной темы
или, возможно, эта вкусная тема лишь отвлекающий маневр от какой-нибудь другое, еще более вкусной темы
+6
Все равно бы заметили, если делать это в промышленных масштабах. На дваче уже и так за пару часов много чего успели попробовать — даже дорвейщики подключались и похоже не безуспешно для себя… А в целом легион постарался на славу )) img408.imageshack.us/img408/1415/1278252932293.png
-2
Почитайте Кысь.
0
Вы считаете, такая уязвимость у такого сервиса может продержаться долго, даже если её не палить? Точнее, если её «пытаться» не палить?
0
Создатели FUTURAMA явно что-то знают.
0
профиксили уже. вырезают автоматически тег со словом script
как выглядела проблема вживую можно посмотреть здесь — там видео есть
как выглядела проблема вживую можно посмотреть здесь — там видео есть
+2
а взломали то с 4chan.org
images.4chan.org/b/src/1278259281256.jpg
images.4chan.org/b/src/1278259281256.jpg
-4
Однако, гугл лоханулся…
0
Пофиксили уже =(
А я хотел пакмана пустить побегать =(
А я хотел пакмана пустить побегать =(
+1
НЛО прилетело и опубликовало эту надпись здесь
Юзаю Noscript, потому не заметил. Кстати, во избежания таких случаев могу посоветовать: code.google.com/p/owaspantisamy
+1
Возможно и неследие от создателей сервиса.
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Уязвимость комментариев на Youtube