Уязвимость в RubyOnRails затронула Twitter, но не пользователей IE8

    На прошлой неделе стало известно об уязвимости в популярном движке веб-разработки Ruby On Rails, основанной на Cross-site scripting (XSS).

    Уязвимость добралась до многих популярных сервисов, в том числе пресловутого Твиттера. Ошибка закралась в работу с Unicode и позволяла воспроизвести произвольный код на JavaScript. Подробную информацию о данном инциденте можно почитать на Ars Technica. Ошибка была оперативно исправлена, однако учитывая аудиторию сервисов, могла иметь существенный негативный эффект.

    В то же время уязвимость не затронула пользователей Internet Explorer 8. IE8 имеет встроенный XSS-фильтр, который автоматически защищает пользователей от подобного рода атак – происходит блокировка кода и высвечивается предупреждающее сообщение сверху.

    Это лишнее свидетельство тому, что Интернет невозможен без угроз и атак и пользователям необходима адекватная защита. IE8 имеет целый набор средств для безопасности и надежности. Более подробно об этом я рассказал в онлайн-докладе.

    Напомню, что по результатам недавнего исследования NSS Labs Internet Explorer 8 является самым безопасным браузером в области защиты от вредоносных программ и фишинга.
    Поделиться публикацией

    Комментарии 107

      +10
        +1
        В Опере данная уязвимость работала?
        +10
        IE8 — самый безопасный браузер? Никогда не поверю!
          –1
          Почему?
            –7
            Ну потому что у него репутация подмочена — уж больно много натерпелись дизайнеры с предыдущими версиями IE. А теперь чтобы вернуть доверие пользователей, нужно очень сильно стараться. Но вы движитесь в правильном направлении.
              +9
              А какая связь между дизайном и безопасностью?
                –7
                Никакой. Но я говорю об альтернативе использования IE8 или, например, Firefox 3.5. Пользователи уже давно не доверяют IE потому что он до недавнего времени был самым небезопасным браузером. Ну а вы, как евангелист Микрософт, естественно продвигаете IE8 как самый-самый. Но еще раз повторяю, что прошлое не так просто забыть как вам бы хотелось.
                  +3
                  Вы как-то не до конца последовательны.
                  Сначала говорите, что дизайнеры натерпелись со старыми версиями. Теперь — что он был самым небезопасным.
                  • НЛО прилетело и опубликовало эту надпись здесь
                      0
                      Почему же? Я утверждаю что дизайнеры натерпелись со старыми версиями IE, а также утверждаю что до недавнего времени он был самым небезопасным. В чем же я непоследователен?
                  +6
                  Безопасность — это не та область, где следует полагаться на стереотипы. Лучше всегда проверять.
              +5
              FF тоже имеет защиту от XSS и фишинга.
                0
                Но у Microsoft есть группа Microsoft Online Security, и есть деньги на её работу, поэтому данные получаемые фильтрами фишинга актуальнее. Это, по сути, и проверяет тест от NSS. Как я понимаю.

                А на счёт фильтра XSS — может он и есть, но не сработал же?
                  –19
                  Потому что надо было поставить No script и жить споконойно.
                    +24
                    Javascript-а бояться — в интернет не ходить.
                    • НЛО прилетело и опубликовало эту надпись здесь
                        +2
                        А вы ставили No script? Он не полностью блокирует JS.
                          0
                          Да. Но он ведь не решает всех проблем. Например, не защищает от подмены контента на сайте, занесенном в список доверенных. Ну и пользователи не слишком часто изучают JS-код сайта перед добавлением во whitelist.
                            +3
                            тогда лучше выключить компьютер из розетки :)
                              –3
                              Или поставить IE8? :-)
                                +2
                                Не нашёл на сайте версии под линукс :)

                                А если серьёзно, если заломали весь сайт, то уже ничего не поможет.
                                0
                                Нет, я не против noscript — он вполне защищает от некоторых классов атак. Но потенциальных уязвимостей всё равно намного больше. Так что лучше просто перестать беспокоиться и начать жить:)
                          –1
                          Ну да, и ещё надо было антивирус поставить — они тоже аддоны ставят для браузера для схожих целей.
                        +2
                        Комментарии к оригинальной статье говорят, что данная защита включается только аддонами и нету изначально — arstechnica.com/security/news/2009/09/ruby-on-rails-vulnerability-affects-twitter-ie8-immune.ars
                        «Every other browser vendor needs to add this functionality yesterday»
                          +1
                          FF это сам себе конструктор, собственно так и позиционируется.
                            +1
                            Так никто и не спорит. Только объясните это пользователям, которым FF поставили добрые друзья, но не сказали, что теперь надо еще что-то ставить для защиты
                              +4
                              >О себе: Microsoft Architect Evangelist

                              Ну я потратила некоторое количество времени объясняя людям, почему винду нельзя держать без антивируса… а то добрые люди из микрософт не сразу начали объяснять, «что теперь надо еще что-то ставить для защиты» ;)

                              Наверное придется потратить время для пиара No script =)
                                +1
                                Держу «винду» без антивируса и фаервола, но с постоянными обновлениями и встроенными средствами секурности. Она сама со-всем прекрасно справляется… Во-времена Windows XP, Ваши слова может быть были актуальны, но сегодня становятся смешными :)
                                  –1
                                  Ну почему же… Винда ХРюша и до сих пор тоже может нормально жить только с обновлениями системы.
                                    +6
                                    Наверное =)
                                    флешки с автораном я до сих пор людям чищу… я не в курсе обновление для этого выходило? А то люди обновляются… а я все чищу… =(
                                      –4
                                      У меня например авторан отключен вообще.

                                      И тут речь шла не про малограмотных юзеров (им и антивирус с фаерволом и обновлениями не помогут, если голова и руки не будут работать слаженно), а про advanced users, которые вполне могут себе отключить авторан вообще, еще при установке винды и не задумываться больше вообще о флешках и прочих девайсах с зараженными авторанами.

                                      Продвинутые пользователи до сих пор могут и на голой винде жить, только с обновлениями и без фаервола и антивируса.

                                      Сомневаюсь, что в 7 версии винды не нужны мозги и система сама пользователя защищает от всего на свете.

                                      Без правильного использования /dev/hands напару с /dev/brain любая операционка — дыра полнейшая.
                                        +3
                                        Я не системный администратор и времени на поход по знакомым и отключение авторана у меня нету =( Да и не умею я(тк самой не нужно было).

                                        >Сомневаюсь, что в 7 версии винды не нужны мозги и система сама пользователя защищает от всего на свете.

                                        Это не я написала. hannimed наверное разбирается в том, что говорит…

                                          0
                                          Ну и причем тут вы? Речь о том, что «МОЖЕТ ЖИТЬ», а не то, что для этого нужно сделать.
                                            0
                                            Ну вы написали «У меня например авторан отключен вообще.»

                                            >Речь о том, что «МОЖЕТ ЖИТЬ», а не то, что для этого нужно сделать.

                                            Не вы ли написали, что для этого надо быть продвинутым пользователем? Для того, чтобы им стать, делать наверное нужно много чего…
                                              –2
                                              Если им не стать, то хоть будет куча помощников, всеравно обязательно все сламается, заразиться и т.д.
                                                +1
                                                А вы поставьте своим знакомым Linux и спите спокойно. Только потом через год посчитайте количество просьб и вопросов, которые были при Windows и которые возникли при Linux'e :)
                                                  0
                                                  Увы, мои соображения по поводу Linux довольно затруднительно изложить в коротком комментарии… но миграция и использование Линукс в качестве рабочей системы — это две большие разницы. И если я вам сейчас поставлю задачу по миграции моей рабочей машины на ОС Виндовс, боюсь эта задача вам окажется не по силам =)

                                                  А для знакомых надо осуществлять именно миграцию. А в силу объективных причин миграция именно с виндовс — самый трудоемкий процесс (а потом микрософт обижается на свою репутацию) Как хрупкая девушка сможет столь сложный комплекс проблем разрешить то?

                                                  зы У сестры на ноутбуке Убунта(за 3 месяца 0 вопросов), но тут я для себя старалась, ибо поддерживать вин машинку в рабочем состоянии для меня очень трудно, в силу сложности ОС от Микрософт… А затраты на миграцию в данном конкретном случае были не особо велики.
                                        • НЛО прилетело и опубликовало эту надпись здесь
                                        0
                                        Ну вышеописанным, я занималась как раз во времена Windows XP и 98 =)
                                        Как там теперь дела у микрософт, я без понятия… доверюсь вашим словам =)

                                        зы про поводу «смешными», если вы обратите внимания, мой комментарий был адресован к «что теперь надо еще что-то ставить для защиты», а не к нынешней ситуации с защищенность альтернативной ОС.
                                          +3
                                          не очень умно этим кичится ;) попробуйте качнуть пару утилиток «троян ремуверов» с антивирусных сайтов, вы будете удивлены какой зоопарк в системе
                                            –1
                                            Вот только не надо мне советовать утилитки для дошкольников. Я прекрасно всё вижу используя всего две: TcpView и ProcessExplorer. Обе маленькие и есть на сайте MS, но не сказал бы что я часто что-то нахожу. Под Vista и Win7 ничего не видел… Под 2к3 (т.к. юзаю его для расшарки инета) — бывает, но тоже редко.
                                              +2
                                              простите, Мастер
                                              просто не все ещё научились расшифровывать код матрицы на лету ;)
                                              приходится юзать утилитки для дошкольников, чтоб найти руткиты
                                • НЛО прилетело и опубликовало эту надпись здесь
                                  +7
                                  Интересно, сколько комментариев вида «ИЕ — говно, тест — фигня» соберет этот топик?
                                    –4
                                    Интересно, о чем это говорит?
                                      +3
                                      Это говорит о том, что большинство не умеют или не хотят мыслить объективно (даже на хабре отличающемся сообществом с более продвинутым мышлением, чем остальная масса Интернета).
                                        +7
                                        О том, что среди около ITшного люда, репутация ИЕ, гм… мягко говоря несколько низковата =)
                                        Об объективных причинах, почему такая репутация сформировалась все вроде в курсе…
                                          0
                                          Вопрос в таком случае что же управляет «IT-шным людом» — факты или воспоминания о том «как всё было раньше» :)
                                            0
                                            Люди они же люди)

                                            Ну а, в свете немногочисленности _объективной_ информации, репутация не худший критерий оценки качества ПО. Необъективный конечно, но далеко не худший.
                                          +5
                                          Гм. Заслужили потому что. Как известно, первое впечатление — оно устойчиво.

                                          И если безопасность действительно могли подкачать до более-менее адекватного уровня, за что ручаться, кстати, я бы не стал; то постоянные проблемы с версткой и производительностью по-прежнему делают браузер рядовым куском дерьма с точки зрения веб-разработчиков.
                                        +5
                                        при всей моей давней и горячей любви к firefox'у, мне нравится что IE развивается, становится лучше после стольких лет спячки( а он реально стал лучше, и способен «поиграть мускулами», только уж больно у него репутация подмочена, поэтому многие и не замечают).
                                        Как нравится и появление хрома, хотя и не пользуюсь обоими.

                                        Появилась таки наконец живая конкуренция, и это заставляет команды браузеров быстрее развиваться.
                                        как редко ещё недавно выходили версии. а теперь смотрите. что не день то новости, и измерение размеров, у кого js длиннее быстрее / css корректнее / кто безопасней.
                                          +1
                                          Да ну! Возможно одну уязвимость ie8 и смог отфильтровать, но это не значит, что он отфильтрует и все остальные. Хотелось бы видеть результат работы уязвимости на других браузерах разных версий с какого-нибудь обьективного источника, который не боготворит Microsoft (и соответственно не боготворит другие браузеры). Да и вообще, как только ie8 отловил одну уязвимость, его сразу тут начали боготворить. Ну не поверят многие в то что это безопасный браузер еще долго-долго. ie8 последователь ie6 и перебрал всю его репутацию себе и еще должно пройти очень много времени чтобы к этому браузеру относились нормально все, а не только поклонники Microsoft.

                                          P.S. может я и перегнул насчет того, что браузер «боготворят», но именно так это и выглядит, взгляните хотя бы на заголовок поста.
                                          • НЛО прилетело и опубликовало эту надпись здесь
                                              –1
                                              Про винду я ничего не говорю. Win7 я считаю первой удачной ихней ОС, которая достойна внимания, но браузер IE я не любил, не люблю и врятли когда-либо полюблю. Слишком много мне пришлось промучатся при разработке сайтов в этим браузером. Не отрицаю, IE8 стал соблюдать некоторые веб-стандарты, но его безопасность кажется мне весьма сомнительной.
                                                –1
                                                до Win7 удачных Windows не было? :-)
                                                  0
                                                  Не было. 98 полна дыр, ХР тоже. Виста в добавок еще и тормозит сильно. А 7 быстрее ХР и красивее Висты — её можно назвать удачной.
                                                    0
                                                    А кто сказал, что в 7 нет дыр и не будет? Когда ХП вышла — тоже считалась самой безопасной системой.

                                                    Пройдет время и все расставиться по местам. Пока рано делать выводы еще.
                                                +2
                                                Эти «странные» люди — возможно, один из важнейших факторов взаимодействия между потребителями и крупными корпорациями.
                                                Потому что именно они заставляют таких монстров, как Майкрософт, беспокоитсья о своём имидже.
                                                Ведь однажды потеряв доверие этих «странных» людей, можно ещё долго не отмыться.
                                                А если бы таких людей небыло, Майкрософт бы продолжал выпускать говнопродукты, ведь «пипл — хавает».

                                                Так что, ИМХО, Майкрософт заслужил стереотипы типа «винда — мастдай».
                                                И пусть это уже не соответствует действительности (лично я от Вин 7 — в положительном шоке), но ещё слишком рано прощать Майкрософту прошлые грехи — пускай ещё попотеют и поотмываются, чтобы неповадно было.
                                              +2
                                              Создайте уже новый блог «Microsoft — мы пиаримся на Хабре», зачем стесняться.
                                                –3
                                                Если вам нужен пиар от Microsoft, то для этого есть официальный сайт с пресс-релизами — www.microsoft.com/rus/news.
                                                В блог по Internet Explorer я пишу новости про Internet Explorer. Это неправильно?
                                                  +4
                                                  То есть вы хотите сказать, что этот пост ни разу не пиарит Microsoft и IE в частности? Новость заключается в предоставлении аудитории объективной информации для сравнения и анализа.
                                                    –6
                                                    Какая информация в данном посте является необъективной?
                                                      +4
                                                      Информация в посте является субъективной, не приписывайте мне слова, которых я не говорил. Это следует из того, что нет информации по другим браузерам и этой уязвимости. О них даже не упоминается почему-то.
                                                        +3
                                                        Очень забавно, что мне еще и карму заминусовали. Те, кто это сделал: вы таким образом компенсируете отсутствие аргументов? Скажу, чтобы вы не сомневались — меня это совершенно не задело. Быть адекватным человеком гораздо лучше, чем пытаться самоутвердиться таким смешным способом, как это делаете вы.
                                                          –1
                                                          Я приписывал какие-то слова? Вы что-то путаете.
                                                          Я пишу новость про IE8 со ссылкой на источник информации. Если хотите написать про другие браузеры — напишите, по-моему будет очень интересно.
                                                            +2
                                                            Поймите же, наконец: у меня и в мыслях не было учить вас, как нужно писать. Я намекал на то, что Хабр — сообщество людей думающих, которым было бы гораздо интереснее читать объективную аналитику, а не голословные утверждения.
                                                            Я считаю, если в источнике информации не хватает данных, их следует найти, проанализировать самому и только после этого писать новость. В противном случае лучше не писать вовсе.
                                                              +4
                                                              «Хабр — сообщество людей думающих» — поржал, спасибо
                                                                0
                                                                За ту неделю, что я зарегистрирован мне показалось, что думающих все таки больше :)
                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                              +3
                                                              Описание своих сильных сторон словами «по результатам недавнего исследования NSS Labs Internet Explorer 8 является самым безопасным браузером в области защиты от вредоносных программ и фишинга», конечно, заслуживает улыбки.

                                                              Подозреваю, что сообществу интересно знать как обстоят дела именно с уязвимостью в Ruby в других браузерах, а не то, какой IE весь хороший. Или вы будете утверждать, что львиная доля Хабра использует IE?

                                                              И «орут», кстати, на рынке. Я выразил свою точку зрения без эмоций, не более.
                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                              –1
                                                              Мгм, как насчет того что любая информация априори субъективна?

                                                              Вы не можете провести эксперимент не повлияв на его результат.

                                                              А блог об IE, а не всех браузерах вообще.
                                                                0
                                                                Да, любая информация субъективна, не отрицаю. Разница только в том, что есть беспристрастная оценка фактов о происходящем и, как противоположность, замкнутое само в себя восхваление своих же взглядов на действительность. Причем замкнутое настолько, что любая другая точка зрения трактуется как инакомыслие и карается соответственно, с фанатизмом.

                                                                И повторю еще раз: если новость об уязвимости в Ruby, которая затрагивает все браузеры, почему она не в блоге информационная безопасность? Там же и про IE можно было упомянуть, кстати.
                                                                  +1
                                                                  Вы задаете глупые вопросы.

                                                                  Потому что автор Microsoft Architect Evangelist и писал об IE.

                                                                  Что тут не понятного? :)
                                                                    +1
                                                                    Фанатизм мне непонятен, при котором критичность мышления стремится к нулю )
                                                                      0
                                                                      Отлично, вот вы и поставили диагноз. А теперь, следуя психоанализу, выясните почему именно ВЫ
                                                                      поставили именно ТАКОЙ диагноз.

                                                                      Ответ вас не обрадует. Но вам с этим жить.
                                                            0
                                                            И, кстати, вы путаете новости и аналитические отчеты :)
                                                            Для сравнения и анализа используют как раз последние :)
                                                              –1
                                                              Если кто-то пишет новость, это не значит, что он может писать первое пришедшее в голову. В данном случае новость заключается в наличии бага в Ruby, все остальное в топике автора — псевдоаналитика и реклама xss-фильтра в «самом безопасном» IE.
                                                              Другими словами, я за то, чтобы называть вещи своими именами, поэтому и написал про создание отдельного блога.
                                                        +6
                                                        Безопасность это, конечно, замечательно, но можете мне объяснить по какой причине новую пустую вкладку IE8 открывает ужасно долго? И на новом компе (Windows 7) и на древнем ноуте (XP). Видимо что-то безопасит…
                                                          0
                                                          Возможно она открывается в новом процессе, как в Chrome.
                                                            0
                                                            Естественно. И я даже могу понять почему это медленно на древнем ноуте, но почему это тормозит на Core2Duo + 4 Gb оперативы — как-то не понимаю…
                                                            Вот многое хорошо сделано в IE (ускорители вообще здорово придумали), но пока вкладку открываешь — забываешь зачем это делал…
                                                              0
                                                              А какая у вас ОС стоит?
                                                                0
                                                                Я же написал — на компе W7 RC. На ноуте XP SP3
                                                                  0
                                                                  Ой, извините, не заметил. А точнее 32 или 64? Просто у 32 разрядной винды проблема с использованием всех 4 Gb памяти, но это скорей всего не тот случай.
                                                                    0
                                                                    Какая там проблема с 4ГБ памяти? Я год прожил на Vista 32, всё в порядке.
                                                                      0
                                                                      А вы посмотрите в диспетчере задач объем доступной физической памяти :-)
                                                                        0
                                                                        Ах, вот вы о чём. Это не проблема.
                                                                      +3
                                                                      То есть 2,7 ГБ оперативки будет мало для быстрого создания новой вкладки в IE8?))))

                                                                      Я попробовал юзать IE8 как основной браузер (даже единственный), но получилось только пару дней. Как-то всё работало слишком медленно по сравнению с третьим огнелисом. И иногда всё ломалось) Но ослик стал действительно гораздо лучше по сравнению с IE7.
                                                                        0
                                                                        Ммм, может настройки системы?

                                                                        С февраля месяца IE8 который в Win7 основной браузер
                                                                          0
                                                                          У меня сейчас стоит свежая Win7 Professional. В настройках я ничего не менял.
                                                              –1
                                                              Чаще всего проблема в аддонах — плагинах или тулбарах. Попробуйте отключить и попробуйте еще раз.
                                                                0
                                                                Да, изначально была проблема в Java Plugin SSV Helper, но я это даже в рассмотрение не беру — в случае его включения вкладка открывалась 40 (СОРОК) секунд. Сейчас еще раз проверил, с отключенной данной надстройкой новая вкладка открывается 3 секунды — ну я не знаю, что такое можно 3 секунды делать для открытия пустой вкладки
                                                              +6
                                                              Конечно IE8 это рывок относительно IE6, но как подметили многие «осадок то остался» и этого осадка хватит еще на долго…
                                                              А по поводу скорости это вообще отдельный разговор, хоть убей но не вижу я этой дикой скорости в IE8, сам сижу на Chrom-е. IE8 открываю только для проверки сайтов которые делаю и всегда он проигрывает во всем. Скорость открытия окна/табов, скорость рендеринга, скорость js. А уж сколько раз лазая по инету хром выкидывает сообщение «Этот сайт может нанести вред вашему компьютеру» и ты сразу понимаешь с сайтом что-то не то.
                                                              А canvas?! Ну где он, для чего ждать пока все разработчики начнуть кричать на каждом углу «хочу канвас», «дайте канвас».
                                                              Продолжаем… png, да именно PNG!!! сколько крови выпили эти 3 буковки и все благодаря IE6 потом подпил IE7, IE8 продолжает славные традиции (добавьте opacity к png24).
                                                              И это еще не конец! filter:alpha(opacity=50)… Вот скажите мне зачем? Зачем нужно это свойство, почему не быть как все и сделать «opacity: 0.5». И почему с IE6 до сих пор не исправлен баг, если к блоку с текстом добавить прозрачность напрочь корявится текст!
                                                              Фух, продолжаем. фреймы (используются в админке modx), написал модуль. Запустил и что?! в IE8 белый экран, 2 часа искал ошибку не нашел, что это? Безопасность? (Проблема пока не решена если кто нибудь знает, хоть примерно напишите плз).
                                                              Спасибо за внимание. Пока IE8 с моем личном рейтинге на последнем месте, IE6-IE7 в нем вообще нет :-)
                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                  +4
                                                                  Да задело то что MS пиарит свой «встроенный XSS-фильтр» хотя остальное все далеко не сказочно. Это все равно что автоваз начнет рекламировать супер-прочные ремни безопасности.
                                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                                      0
                                                                      Посмотрел, ничего впечатляющего в блоге Internet Explorer нет, в отличии от блога Google Chrome, где много полезного можно прочитать.
                                                                +6
                                                                Евангелисты MS, пожалуйста, в следующий раз пишите такие PR-тексты менее пафосным голосом. Мы же прекрасно понимаем, как часто пользователи IE неделями остаются без патча с гуляющими по сети экспойтами (и вирусами их эксплуатирующими).

                                                                Хабрахабр — это не Ваша PR-газета (хоть Вы и его спонсор), рассказали бы вместо PR’а механизмы защиты и подробности уязвимости — тогда статья была бы интересна.
                                                                  +2
                                                                  Коментаторы, пишите второе предложение мене пафосно. :)
                                                                  +2
                                                                  Я так и не понял, статья «об уязвимости в популярном движке веб-разработки Ruby On Rails» или о том что «IE8 имеет целый набор средств для безопасности и надежности» и "… встроенный XSS-фильтр"?
                                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                                    –1
                                                                    IE — убогое тормознутое гавно. До Safari и Firefox c Opera ему очень очень далеко.
                                                                      +1
                                                                      Прекрасное аргументированное мнение, объективное и продуманное
                                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                                    • НЛО прилетело и опубликовало эту надпись здесь

                                                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                      Самое читаемое