>потому что у них домен блогхостинга отдельный от домена, на котором блог редактируется Не понял. Вроде на одном. С куками по доменам, да — непросто там. Или может я не так понял сказанное?
>Если можешь, напиши мне ufokorpas@mail.ru, есть тест кейсы – посоветоваться. Написать, вообще, я могу — это я умею. Однако, я такие вопросы обсуждаю только с вендорами, но никак не с теми кто стремиться эксплуатировать их. По одной простой причине, цель — не эксплуатация, а исправление. >только жаль, куки своровать в жж не удастся В данном случае только через баг в браузере, однако с ЖЖ их можно воровать иначе, дыр хватает.
>приличный санитайзер действует по принципу «нельзя ничего, кроме того что можно» Как оказалось у многих он неприличный. Но принцип этот правильный не всегда. Что проще составить список разрешенного или список запрещенного? Когда как. Надо по ситуации смотреть. kukutz, да, напрямую у вас не работает. небольшие детали о том какие блогхостинги все-таки уязвимы… blogger.com и livejournal.com, к примеру. http://fuzzing.ru/blog/2008/11/13/persistent-cross-site-scripting-bloggercom-livejournalcom/ Данной опасности подвержены в основном блогхостинги которые не навязывают свои видеохостинги для публикации видеороликов, а дают возможность вставлять любой.
>Можно ли попросить уважаемого сотрудника компании Рамблер привести примеры уязвимых блогхостингов и почт? Уважаемые сотрудник Яндекса, вы, возможно, невнимательно читали описание проблемы по ссылке, там отмечается что используются специфические варианты (т.е. те которые знают и помнят не все), а так называемые «санитайзеры» чаще элемент не удаляют а подчищают, забывая про такие тонкости. Инкассаторы у нас тоже с автоматами ходят, с важным видом, однако грабить их некоторым гражданам удаётся весьма неплохо. Ну а про названия, пока не скажу (проверял на двух крупных сервисах, был немало удивлен) — высока потенциальная угроза использования. Но, если кто надумает проверять, то найдет подтверждение ну не далее как со второй попытки. Кому смог — сообщил сам. Всем не смогу, нет, поэтому, тому кто из разработчиков заинтересован, имеет смысл поглядеть у себя фильтры на данный предмет.
>я сказал, что аудиокодеки — это их гордость и все такое.. >у них кроме аудио звонилки больше ничего нет да, смысл один у двух фраз, бесспорно. Они вроде поставляют и продают «технологическую платформу» (и для аудио и для видео очень мощную), а клиенты под платформу сами делают для демонстрации, сравнительных тестов и тестирования конфигураций, т.е. клиента они не продают. Во всяком случае так было раньше.
>А про spirit вам расскажут… агага :)) у них кроме аудио звонилки больше ничего нет. и не удивительно — они аудио кодеками занимаются.. Ну вообще количество клиентов и имена мягко говоря впечетляют у спирита. Да и делают они вовсе не клиентов, а кодеки (причем очень крутые, жмется при хорошей настройке великолепно, да еще и шифруется) и SDK для любых приложений. Так что над подобными выпадами в адрес спирита можно только поржать.
Koshkin, ну тут конечно, у каждого может быть свой подход. Тут ведь как, дело не в стебе совсем. Человеку свойственно ошибаться, это нормально. Другой вопрос как он свои ошибки анализирует. Я не вижу смысла жалеть людей и закрывать глаза на их профессиональное несоответствие, особенно в серьезных делах. Мне, к примеру, совсем неинтересно чего там в мелких проектах и интернет-магазинчиках. А вот как обстоит дело у крупных производителей — очень интересно. Если дело не в конкретных людях, то пусть меняют организацию процесса. Есть повод подумать в любом случае. >Программисты все-таки чаще всего оптимисты по жизни и верят, что надо «ввязаться в бой а там разберемся». Без этого оптимизма не было бы многих прикольных сервисов :) Если сервис относится к разряду «прикольных», тогда можно поржать и забыть. Тут иначе. Недавно с творчеством таких же «приколистов» столкнулся пользуясь банкоматом. Безвозвратно потерял нормальную сумму (из-за программной ошибки) и следов в банке не нашли нигде. Еще более «прикольно», наверное, жить в доме, спроектированном «неумеющим сказать «нет» архитектором.
>fuzzing — а что значит «если бы вы хоть раз делали?» С чего вы взяли, что я этого не делал? В чем сомнения? Или просто уколоть мимоходом? :) Нет, не подкол. Если я совсем ошибаюсь — извините. >Вебмастера, который на вопрос начальника «смогёшь» не решился ответить «не смогу». Мне его жалко. А мне нет. Налицо яркий его непрофессионализм.
>С давних времен нормальной традицией было написать багрепорт вебмастеру или владельцам — можно придумать, куда. Если бы Вы хоть раз делали то о чем вы говорите, то очень быстро бы поняли что за аудитория будет читать эти сигналы о проблемах. Ответы часто ограничиваются фразыми «и че?», «тебе какое дело?» и т.п. А вот резонанс публичный сразу заставляет шевелится и, даже, шутка ли сказать, понять смысл происходящего у них и опасность проблем. Есть такое мнение, что пример, действует сильнее угроз.
>gmail.com тоже режет рефереры, только что проверил. >Соответственно, весь google.com — это Google Apps и какие-то подобные вещи. >http://blog.lexa.ru/2008/10/29/doverj…erjaj.html Google в разных браузерах использует их особенности для скрытия контекста перехода (чтобы не было referrer). Какие именно способы понять не так просто, нужно отлаживать их скрипты. Но вот в FF он шлет POST который отдает . В IE не так, но браузер referrer не отдает точно. Рамблер, Яндекс вообще насколько знаю редиректят через заголовок Location. Mail referrer отдает, но редиректор вроде не использует.
Вообще, строго говоря это является уязвимостью web-проекта, классифицируемой как «URL redirection». И такие вещи являются недосмотром, кто бы что ни говорил. Простой переход на другие сайты самый простой вариант нецелевого использования. Наиболее правильно такие редиректоры организовывает Google и, к примеру, Вконтакте. Они все несанкционированные своими сервисами переходы делают только после подтверждения пользователя с объяснением ему сути происходящего.
С самого создания. Блог является личным. Предупреждая все домыслы вроде «Рамблер ведет войну против Яндекса» и т.п — Все данные собираются и публикуются по усмотрению и инициативе автора.
Дискуссии пользователя
>потому что у них домен блогхостинга отдельный от домена, на котором блог редактируется Не понял. Вроде на одном. С куками по доменам, да — непросто там. Или может я не так понял сказанное?
>Если можешь, напиши мне ufokorpas@mail.ru, есть тест кейсы – посоветоваться. Написать, вообще, я могу — это я умею. Однако, я такие вопросы обсуждаю только с вендорами, но никак не с теми кто стремиться эксплуатировать их. По одной простой причине, цель — не эксплуатация, а исправление. >только жаль, куки своровать в жж не удастся В данном случае только через баг в браузере, однако с ЖЖ их можно воровать иначе, дыр хватает.
Да, вы правы. Можно. Убрал. Почему у них так много позволяют мне совсем непонятно.
>приличный санитайзер действует по принципу «нельзя ничего, кроме того что можно» Как оказалось у многих он неприличный. Но принцип этот правильный не всегда. Что проще составить список разрешенного или список запрещенного? Когда как. Надо по ситуации смотреть. kukutz, да, напрямую у вас не работает. небольшие детали о том какие блогхостинги все-таки уязвимы… blogger.com и livejournal.com, к примеру. http://fuzzing.ru/blog/2008/11/13/persistent-cross-site-scripting-bloggercom-livejournalcom/ Данной опасности подвержены в основном блогхостинги которые не навязывают свои видеохостинги для публикации видеороликов, а дают возможность вставлять любой.
>Можно ли попросить уважаемого сотрудника компании Рамблер привести примеры уязвимых блогхостингов и почт? Уважаемые сотрудник Яндекса, вы, возможно, невнимательно читали описание проблемы по ссылке, там отмечается что используются специфические варианты (т.е. те которые знают и помнят не все), а так называемые «санитайзеры» чаще элемент не удаляют а подчищают, забывая про такие тонкости. Инкассаторы у нас тоже с автоматами ходят, с важным видом, однако грабить их некоторым гражданам удаётся весьма неплохо. Ну а про названия, пока не скажу (проверял на двух крупных сервисах, был немало удивлен) — высока потенциальная угроза использования. Но, если кто надумает проверять, то найдет подтверждение ну не далее как со второй попытки. Кому смог — сообщил сам. Всем не смогу, нет, поэтому, тому кто из разработчиков заинтересован, имеет смысл поглядеть у себя фильтры на данный предмет.
>я сказал, что аудиокодеки — это их гордость и все такое.. >у них кроме аудио звонилки больше ничего нет да, смысл один у двух фраз, бесспорно. Они вроде поставляют и продают «технологическую платформу» (и для аудио и для видео очень мощную), а клиенты под платформу сами делают для демонстрации, сравнительных тестов и тестирования конфигураций, т.е. клиента они не продают. Во всяком случае так было раньше.
>А про spirit вам расскажут… агага :)) у них кроме аудио звонилки больше ничего нет. и не удивительно — они аудио кодеками занимаются.. Ну вообще количество клиентов и имена мягко говоря впечетляют у спирита. Да и делают они вовсе не клиентов, а кодеки (причем очень крутые, жмется при хорошей настройке великолепно, да еще и шифруется) и SDK для любых приложений. Так что над подобными выпадами в адрес спирита можно только поржать.
Koshkin, ну тут конечно, у каждого может быть свой подход. Тут ведь как, дело не в стебе совсем. Человеку свойственно ошибаться, это нормально. Другой вопрос как он свои ошибки анализирует. Я не вижу смысла жалеть людей и закрывать глаза на их профессиональное несоответствие, особенно в серьезных делах. Мне, к примеру, совсем неинтересно чего там в мелких проектах и интернет-магазинчиках. А вот как обстоит дело у крупных производителей — очень интересно. Если дело не в конкретных людях, то пусть меняют организацию процесса. Есть повод подумать в любом случае. >Программисты все-таки чаще всего оптимисты по жизни и верят, что надо «ввязаться в бой а там разберемся». Без этого оптимизма не было бы многих прикольных сервисов :) Если сервис относится к разряду «прикольных», тогда можно поржать и забыть. Тут иначе. Недавно с творчеством таких же «приколистов» столкнулся пользуясь банкоматом. Безвозвратно потерял нормальную сумму (из-за программной ошибки) и следов в банке не нашли нигде. Еще более «прикольно», наверное, жить в доме, спроектированном «неумеющим сказать «нет» архитектором.
>fuzzing — а что значит «если бы вы хоть раз делали?» С чего вы взяли, что я этого не делал? В чем сомнения? Или просто уколоть мимоходом? :) Нет, не подкол. Если я совсем ошибаюсь — извините. >Вебмастера, который на вопрос начальника «смогёшь» не решился ответить «не смогу». Мне его жалко. А мне нет. Налицо яркий его непрофессионализм.
>С давних времен нормальной традицией было написать багрепорт вебмастеру или владельцам — можно придумать, куда. Если бы Вы хоть раз делали то о чем вы говорите, то очень быстро бы поняли что за аудитория будет читать эти сигналы о проблемах. Ответы часто ограничиваются фразыми «и че?», «тебе какое дело?» и т.п. А вот резонанс публичный сразу заставляет шевелится и, даже, шутка ли сказать, понять смысл происходящего у них и опасность проблем. Есть такое мнение, что пример, действует сильнее угроз.
>gmail.com тоже режет рефереры, только что проверил. >Соответственно, весь google.com — это Google Apps и какие-то подобные вещи. >http://blog.lexa.ru/2008/10/29/doverj…erjaj.html Google в разных браузерах использует их особенности для скрытия контекста перехода (чтобы не было referrer). Какие именно способы понять не так просто, нужно отлаживать их скрипты. Но вот в FF он шлет POST который отдает . В IE не так, но браузер referrer не отдает точно. Рамблер, Яндекс вообще насколько знаю редиректят через заголовок Location. Mail referrer отдает, но редиректор вроде не использует.
Вообще, строго говоря это является уязвимостью web-проекта, классифицируемой как «URL redirection». И такие вещи являются недосмотром, кто бы что ни говорил. Простой переход на другие сайты самый простой вариант нецелевого использования. Наиболее правильно такие редиректоры организовывает Google и, к примеру, Вконтакте. Они все несанкционированные своими сервисами переходы делают только после подтверждения пользователя с объяснением ему сути происходящего.
С самого создания. Блог является личным. Предупреждая все домыслы вроде «Рамблер ведет войну против Яндекса» и т.п — Все данные собираются и публикуются по усмотрению и инициативе автора.
Блог fuzzing.ru к Рамблеру не имеет никакого отношения. Совершенно никакого.
Комментарий означает лишь то что дыры были и есть, попытка их исправить оказалась не самой удачной. http://fuzzing.ru/blog/2008/10/20/obnovlenie-ispravlenie-uyazvimostej-suggestyandexru/