Гимн РФ сослужил добрую службу ЖЖ

    Недавно в русскоязычной части ЖЖ тут и там торжественно звучал гимн Российской Федерации, что, однако, не было призывом «на минуту встать» к патриотам страны. Организаторы затеи — а имела место именно затея — ожидали реакции непосредственно от администраторов Livejournal.com, и реакция эта не замедлила появиться, правда, не в желаемой полноте.

    Началось же с того, что одним внимательным пользователем сервиса был замечен баг, открывающий путь некоторым нежелательным вещам. Другие пользователи ЖЖ, инициативные, решили привлечь внимание к багу, предприняв акцию, которая была определена как флешмоб, что, возможно, не самый подходящий термин, поскольку люди имели цели вполне конкретные, и, что важно, благие.

    Участники акции с подачи блоггера linker разместили в ЖЖ-постингах и комментариях код невидимого — 1×1 пиксель — flash-ролика с гимном. Судя по объяснениям linker, возможность подобного действия — суть баг, позволяющий взламывать журналы пользователей, загрузивших «флешку».

    За более подробным комментарием «Хабрахабр» обратился к ЖЖ-пользователю zmey2, обнаружившему «дыру» в системе еще месяц назад.

    Блоггер пояснил, что проигрывание гимна — «это только часть возможных уязвимостей, связанных с тем, что YouTube разрешает указывать в параметре адрес ресурса для картинки-заглушки, который может быть не только картинкой, но и флеш-роликом».

    «Есть и другие потенциальные бреши, — говорит zmey2. — В частности, манипуляция параметром autoplay и BASE_YT_URL. С помощью autoplay можно вставлять в пост ролик, который будет грузиться без разрешения того, кто его просматривает. Может быть очень неприятно, если ролик будет вставлен, скажем, в популярное комьюнити — люди увидят и услышат то, чего, возможно, не очень хотят, а также заплатят за трафик».

    Другой аспект уязвимости — в возможной подмене базового URL, который используется для ссылок в элементах управления видеороликом. «Щелкаете вы, скажем, на кнопку play, а попадаете на такую страницу.

    По словам zmey2, дыр в ЖЖ немного, но они есть, что связано с расширением функциональности ЖЖ. Превентивные меры уместны — администрации сервиса стоит совершенствовать систему сообщения об ошибках, внимательнее относиться к баг-репортам. Пока — баг «с гимном», к примеру, устранен лишь косметически.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 20

      0
      Удали френдам ЖЖ =)
        –1
        Хех. Нашли человека об уязвимостях говорить. Вы б еще тысячника попросили. (Хотя с флешем он все верно сказал, да.)
          +1
          Whisper, а ты с какова горада?
            –1
            Я из Москвы.
            Я к тому, что чтобы оценочно говорить о безопасности в ЖЖ, нужно хотя бы что-то в этом понимать.
              0
              Заочно мы все прекрасные психологи, ага.

              Вы кого из имели в виду, кстати?

              Непонятно, почему вы тогда в комментариях обижаетесь, а не в статье цитируетесь, раз намекаете на чей-то высокий проф. уровень.
                –1
                Причем здесь это? Я имею ввиду, что zmey2 вряд ли разбирается в безопасности ЖЖ, чтобы говорить, что уязвимостей "немного". Откуда ему знать, много или немного?
                  0
                  если говорит, значит разбирается.
                  Вам не кажется?
                    0
                    Мне не кажется. zmey2 не похож ни на хакера, ни на специалиста в области безопасности.
                      +1
                      А вы то развираетесь, видимо?

                      На чём выводы то строили, другъ мой?

                      --
                      Когда кажется, креститься надо, а не выводы делать.
                        0
                        просто по нику судить не стоит, надо хоть не много знать чем он занимается.
                          0
                          Чувак хороший программер. Но - согласитесь - это не синоним специалиста по безопасности. Все.
                            0
                            Хороший программер должен уметь анализировать код имеющийся.

                            Специалист по безопасности к программингу не имеет никакого отношения, по вашему.
                          +1
                          Меня спросили не как специалиста по безопасности, а как человека, обнаружевшего дыру. В этом качестве я и высказал своё мнение.
                          Так как это не первая дыра, которую я обнаружил в ЖЖ, я предположил что есть и ещё.
                          Так как ЖЖ ещё вертится, я предположил что этих дыр не так уж и много.

                          Кстати зафрендить меня можно здесь
                            0
                            Хорошо.
                        +1
                        Вы по делу что скажите, а не придирайтесь к человеку на основе статьи.
                +1
                Браво, Змей, такую ссылочку в статью просунул)
                  +1
                  Что значит "устранен лишь косметически"?

                  Уж или устранён, или не устранён.
                    0
                    Только что устранили окончательно.
                      +1
                      Ну они сперва взяли и закрыли возможность вставлять файлы с тех доменов, где лежал гимн. Сейчас вроде все нормально.
                      –1

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое