| 1.1, stass (??), 12:05, 07/06/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Точно так же, как втыкают iframe, воткнут и вывод этих заголовков. В чём смысл?
| | |
| |
| 2.11, WarpwraP (?), 22:40, 07/06/2008 [^] [^^] [^^^] [ответить]
| +/– |
>Точно так же, как втыкают iframe, воткнут и вывод этих заголовков. В
>чём смысл?
Для втыкания заголовков надо как минимум поломать сервер и огрести там права для его конфигурежки(чуть ли не рут).Для того чтобы впарить клиенту не хидеры а просто кусок хтмлятины, картинку или жабаскрипт всего этого нафиг не надо - достаточно накопать хилую валидацию закидываемого юзерами на сайт контента и втулить туда ссылку.А дальше браузер любезно загрузит юзеру совсем не то что задумывал вебмастер сайта в оригинале.В итоге посещая легитимный сервак вы можете заодно посетить и еще много чего, попутно малость попрощавшись с приваси а то и с куками содержащими пароли а от вашего имени могут что-то сделать (скажем форму запостить).Не больно то приятно когда заходишь на вполне порядочный сайт сайт а дальше вместо этого хакеры тебя кидают туда сюда как мячик для пинг-понга для своих левых целей.Данное хозяйство несколько усложнит подобные приколы.Посему шансы случайно посетить левый хацкерский сервер попутно с легитимным заметно снизятся.По-моему, очень грамотный подход, реальный ответ на массу дыр класса XSS в веб-приложениях.
| | |
| |
| 3.14, stass (??), 00:26, 08/06/2008 [^] [^^] [^^^] [ответить]
| +/– |
>Для втыкания заголовков надо как минимум поломать сервер и огрести там права
>для его конфигурежки(чуть ли не рут).
Вовсе не обязательно. Большинство сайтов, имеющих в своём теле "левые" iframe, было заражено через украденные пароли ftp и дыры в веб-приложения (в тех случаях, когда у приложения есть права модифицировать свои же файлы - к сожалению, такое наблюдается очень часто). Поэтому не составляет труда вместе с добавлением этих iframe, добавить ещё и выдачу заголовков (из любого php, cgi и т.д. это можно сделать. Никаких дополнительных прав для этого не нужно.).
| | |
| |
| 4.20, User294 (ok), 16:24, 10/06/2008 [^] [^^] [^^^] [ответить]
| +/– |
>Вовсе не обязательно. Большинство сайтов, имеющих в своём теле "левые" iframe, было
>заражено через украденные пароли ftp и дыры в веб-приложения
Понимаете в чем дело, это вы не XSS-уязвимости описываете... так что в сад.Сперва почитайте что такое XSS а потом умничайте.От полностью сломанного сервера - ничто особо не защитит.Он по определению может выдать любой контент, совсем не факт что дружественный к пользователю.
Соответственно данная фишка лечит ТОЛЬКО от потенциально нежелательных действий 3rd party серверов.Для работы с ЖЕЛАТЕЛЬНЫМ сервером вы посещаете конкретно ДАННЫЙ сервер а тут бац и сайт на нем и заявляет - что надо бы еще сходить на сторонние сервера и сделать там то да се.При том не потому что так и задумано а потому что скажем фильтрация юзерского ввода не очень крутая и допустим юзер картинку а то и java script на стороннем сервере вывесил и смог пропихнуть ссылку на нее так что она внедрилась в контент легитимного сайта и браузер соответственно оттарабанил данное действие.Одно дело XSS устроить и другое - сервер порутать.Малость разные по степени серьезности атаки.
| | |
|
|
| 2.19, spamtrap (ok), 10:20, 09/06/2008 [^] [^^] [^^^] [ответить]
| +/– |
такое получится не везде. риск конечно остаётся, но он уменьшается. добавить "хитрый" комментарий в блоге уже не получится, например
| | |
|
| |
| 2.12, WarpwraP (?), 22:50, 07/06/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>О! А идея мне нравится.
+1, неплохо задумано.Во всяком случае решений лучше пока нет, так что если кто-то гундеть собрался - велкам, предлагайте что-то лучшее, вам все только спасибо скажут за более безопасный веб-браузинг.
| | |
|
| |
| 2.4, psyhomo (?), 13:03, 07/06/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>а чем NoScript + AdBlock Plus не угодили ?
AdBlock тут вообще не причем, а что до NoScript, то как быть с XSS на сайтах которым доверяешь?
| | |
| |
| 3.7, Аноним (-), 15:02, 07/06/2008 [^] [^^] [^^^] [ответить]
| +/– |
в NoScript есть белый список... и всё работает (поисковый запрос с ya.ru нормально перекидывает на yandex.ru).
| | |
| |
| 4.10, Aleksey (??), 20:08, 07/06/2008 [^] [^^] [^^^] [ответить]
| +/– |
>в NoScript есть белый список... и всё работает (поисковый запрос с ya.ru
>нормально перекидывает на yandex.ru).
Э-э-э. Вы не поверите, но он вас нормально перекинет даже если вы занесете сайт в черный список.
| | |
| |
| 5.16, Аноним (-), 09:23, 08/06/2008 [^] [^^] [^^^] [ответить]
| +/– | |
> нормально перекинет даже если вы занесете сайт в черный список.
Только что проверил... добавил тот-же ya.ru в чёрный список и ничего не произошло. Поисковый запрос не добавился и открылась просто страница yandex.ru _без_ результатов поиска и _без_ запроса url.
| | |
|
|
|
| 2.13, WarpwraP (?), 22:54, 07/06/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>а чем NoScript + AdBlock Plus не угодили ?
Наверное тем что они не имеют удобного и автоматического метода определения что льзя а что нельзя.Тупо рубануть весь траффик за пределы домена - не вариант, юзеру много геморроя и потеря функционала.А тут - сервер сам расскажет какие взаимодействия с внешними сайтами по его мнению могут иметь место в контексте работы с ним(грубо говоря, это нечто типа описания какие данные и где еще кроме своего сервера может юзать данный сайт).
| | |
|
| 1.5, Aleksey (??), 13:40, 07/06/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Идея очень хорошая. Особенно, если производители большинства браузеров примут ее.
| | |
| 1.6, Аноним (6), 13:47, 07/06/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> вставки от полезных (баннерные сети, внешние блоки новостей)
С каких пор баннерные сети стали полезными? Да и новости, если разобраться... :)
| | |
| |
| 2.8, Аноним (6), 17:26, 07/06/2008 [^] [^^] [^^^] [ответить]
| +/– |
>> вставки от полезных (баннерные сети, внешние блоки новостей)
>
>С каких пор баннерные сети стали полезными? Да и новости, если разобраться...
>:)
если "разобраться", то бесполезным можно признать вообще все что угодно. А когда баннеры стали полезным ты можешь додумать сам. Ключевая фраза "бесплатный контент".
| | |
| |
| 3.9, Все тот же аноним (?), 18:28, 07/06/2008 [^] [^^] [^^^] [ответить]
| +/– | |
> Ключевая фраза "бесплатный контент".
Если Вам, уважаемый, настолько дорого обходится то, что Вы называете "контентом", продавайте его за деньги. Или прекратите его генерировать, - уверяю Вас, никто этого даже не заметит. И Сеть станет чуточку чище. То, что Вы называете "новости" - жевательная резинка для быдла. Нормальные новостные ленты стоят денег, а у нормальных программных продуктов есть свои новостные каналы.
Право на жизнь имеет контекстная реклама - то, как делает google. Все остальное дерьмо режется без сожаления.
| | |
| |
| 4.17, Guest (??), 19:23, 08/06/2008 [^] [^^] [^^^] [ответить]
| +/– | |
+100
> Право на жизнь имеет контекстная реклама - то, как делает google
Тоже не имеет и тоже режется без сожаления.
| | |
| |
| 5.18, Oles (?), 21:58, 08/06/2008 [^] [^^] [^^^] [ответить]
| +/– |
 >> Право на жизнь имеет контекстная реклама - то, как делает google
>Тоже не имеет и тоже режется без сожаления.
И как она режется если она внутри хтмл?
| | |
|
|
|
|
|
