Видите ли, в последнее время так много выходит постов на тему Маха, по большей части которые не содержат той технической части, что хотелось бы видеть на Хабре. В вашей статье в основном идёт описание фишинга и то в скринах больше, а эта тема не нова совершенно. Печально, что с вами случилась эта проблема, зато появился опыт, хоть какой-то плюс. А эта лазейка как фича, видимо нужна кому-то и будет работать ещё, ведь предыдущая ваша статья не дала эффекта(возможно пока что).
Да как бы очень спорное утверждение. Впрочем это как Windows/Linux, кому что ближе и под нужды. Годы FF на Linux и всё устраивает абсолютно, и без костылей, хотя казалось бы - Linux, но нет, всё ровно.
О да, это была тропинка к айти :) как же я тогда забросил учёбу..да и игры с картриджа ушли на второй план, в комплекте шла книжица, по ней как-то можно было учиться кодить и насколько помню, создавать миры для игр, без сохранения правда.
Был такой девайс Casio DC-7500RS, обменял его у одноклассника в 2000 вроде году, для меня, как для школьника любителя всяких электронных штучек, вместе с Subor(что с кодингом на Бэйсике) было нечто :)
Вы про ИИ-деда-антискамера? Да, в топ взлетел, но в середине поста было ясно, что что-то не так) вероятно многим просто хотелось, чтобы всё было так, вот и вышел в топ.
В Open Graph превьюшка же может отличаться от содержимого. Сброс пароля по GET сейчас вероятно крайне редко где встретишь, а вот подтверждение с уникальным идентификатором - вполне, что добавит как раз вектор атаки, если сервис сам "кликнет" по ссылке до юзера.
Задал вопрос, чтобы получить ответ, но именно в рамках данного поста. То есть того, что описал автор.
У нас совершенно разное представление критичности уязвимости. Если проверка Origin/Referer является критичной, то что за уровень у RCE? Последствия..значит и сам смартфон уязвим, раз на нём такое открыть можно в принципе. Критичность не так определяется в данном случае. Если для юзера, то хоть XSS, хоть Smuggling - данные утекли, можно воспользоваться, только вот при XSS том же - виноват разработчик, а при фишинге - сам себе виновник.
Проверка ссылок:
3.2 Автоматически проверять ссылки на наличие редиректа, будь то редирект Location, или другой редирект, и помечать такие ссылки как сомнительные.
К примеру в URL в конце нет слэша, на некоторых сайтах идёт редирект на URL со слэшем в конце. А сайт вполне себе легитимный, но по правилам становится сомнительным тогда.
Авторизован или нет - тоже может быть редирект на промежуточную страницу.
Версия браузера, вэб или мобильный и т.п. Это навскидку примеры, при которых будет 302 или в META тэге, таким образом все идут в сомнительные. Не годится такая защита.
3.1 Проверять домен из ссылки на давность регистрации, указывая у новых доменов, что он зарегистрирован недавно.
Ну это уж совсем для наших людей :)
Будет такое:
Скрытый текст
Бесполезно, будем щемиться дальше.
2. Любая ссылка в мессенджере открывается только через промежуточный прокси адрес, вроде checklink.max.ru, который на 2-3 секунды задержит открытие ссылки, но предварительно проверит безопасность ссылки.
А как проверит? На наличие небезопасного текста на странице? Всё отрисуется JS-кой, а checklink.max.ru увидит что-то простенькое и безобидное.
1. Подгрузка сайта по ссылке в небольшом фрейме в самом сообщении с переходом по всем редиректам вполне себе покажет, как выглядит конечная точка, без необходимости клика по ссылке.
Получает юзер такое сообщение с несколькими разными ссылками и у него вместо сообщения отрендерится такая страница аля нулевые, всё мигает, всё разное и грузит полдня.
Вообще любые переходы по ссылкам, которые может инициировать сервис типа для проверки, до того, как отдать пользователю - не лучшая затея, так как есть одноразовые ссылки например, сброс пароля, подтверждение и т.д, и т.п.
4-й пункт верный подход.
M_Script, знакомое, но не могу вспомнить точно, это модер какой-то был на античате или вроде того?
Ну или
Скрытый текст
Видите ли, в последнее время так много выходит постов на тему Маха, по большей части которые не содержат той технической части, что хотелось бы видеть на Хабре. В вашей статье в основном идёт описание фишинга и то в скринах больше, а эта тема не нова совершенно. Печально, что с вами случилась эта проблема, зато появился опыт, хоть какой-то плюс. А эта лазейка как фича, видимо нужна кому-то и будет работать ещё, ведь предыдущая ваша статья не дала эффекта(возможно пока что).
Юзер отключил доступ к микрофону
Скрытый текст
То критические баги от ИИ в Махе, то - "ой, смотрите, а через фишинг-то учётки в ТГ угоняют!".
Пожалуйста, прекратите эти ваши
это попытка накрутиться на Мах/ТГ. Актуальная схема :)
О как, я-то думаю почему это расход сбросился :)
#Без данной хорошей функции не открывается эта самая новость..
Да как бы очень спорное утверждение. Впрочем это как Windows/Linux, кому что ближе и под нужды. Годы FF на Linux и всё устраивает абсолютно, и без костылей, хотя казалось бы - Linux, но нет, всё ровно.
Это надо бы разобрать "чёрный ящик" от РКП, а там:
Скрытый текст
У этой прессы явно завышен билирубин.
А если ещё цифровой рубль введут, то и потратить его на необычный не получится, только из белого списка товаров.
Элементарно, Ватсон! В чертогах разума всё же нашлось местечко для локального ИИ, оттуда и..
Модель Сюбор SB-225B, вот что немного нашёл это и лурк
Это недоработка кодеров матрицы, при вступлении в новое тысячелетие она всё ещё обращалась к старой апишке v1.000, с ограниченным запасом историй :)
О да, это была тропинка к айти :) как же я тогда забросил учёбу..да и игры с картриджа ушли на второй план, в комплекте шла книжица, по ней как-то можно было учиться кодить и насколько помню, создавать миры для игр, без сохранения правда.
Был такой девайс Casio DC-7500RS, обменял его у одноклассника в 2000 вроде году, для меня, как для школьника любителя всяких электронных штучек, вместе с Subor(что с кодингом на Бэйсике) было нечто :)
А если ещё с этого ненавистного запада кто-то похвалит, новость будет достойна молнии ⚡
И не обязательно, назовите просто не Ваших :)
18-летний Cabernet Sauvignon, что открыли на совершеннолетие, оказался палёным.
Вы про ИИ-деда-антискамера? Да, в топ взлетел, но в середине поста было ясно, что что-то не так) вероятно многим просто хотелось, чтобы всё было так, вот и вышел в топ.
В Open Graph превьюшка же может отличаться от содержимого. Сброс пароля по GET сейчас вероятно крайне редко где встретишь, а вот подтверждение с уникальным идентификатором - вполне, что добавит как раз вектор атаки, если сервис сам "кликнет" по ссылке до юзера.
Задал вопрос, чтобы получить ответ, но именно в рамках данного поста. То есть того, что описал автор.
У нас совершенно разное представление критичности уязвимости. Если проверка Origin/Referer является критичной, то что за уровень у RCE? Последствия..значит и сам смартфон уязвим, раз на нём такое открыть можно в принципе. Критичность не так определяется в данном случае. Если для юзера, то хоть XSS, хоть Smuggling - данные утекли, можно воспользоваться, только вот при XSS том же - виноват разработчик, а при фишинге - сам себе виновник.
Проверка ссылок:
К примеру в URL в конце нет слэша, на некоторых сайтах идёт редирект на URL со слэшем в конце. А сайт вполне себе легитимный, но по правилам становится сомнительным тогда.
Авторизован или нет - тоже может быть редирект на промежуточную страницу.
Версия браузера, вэб или мобильный и т.п. Это навскидку примеры, при которых будет 302 или в META тэге, таким образом все идут в сомнительные. Не годится такая защита.
Ну это уж совсем для наших людей :)
Будет такое:
Скрытый текст
А как проверит? На наличие небезопасного текста на странице? Всё отрисуется JS-кой, а checklink.max.ru увидит что-то простенькое и безобидное.
Получает юзер такое сообщение с несколькими разными ссылками и у него вместо сообщения отрендерится такая страница аля нулевые, всё мигает, всё разное и грузит полдня.
Вообще любые переходы по ссылкам, которые может инициировать сервис типа для проверки, до того, как отдать пользователю - не лучшая затея, так как есть одноразовые ссылки например, сброс пароля, подтверждение и т.д, и т.п.
4-й пункт верный подход.
M_Script, знакомое, но не могу вспомнить точно, это модер какой-то был на античате или вроде того?