Дыра в Мозиле позволяет следить куда уходят посетители

Re: Дыра в Мозиле позволяет следить куда уходят посетители

Проверил - дейстительно работает.

unset (16.09.2002 9:58:23)

Re: Дыра в Мозиле позволяет следить куда уходят посетители

А разве эта инфа в логи apache не идет автоматически?

Re: Дыра в Мозиле позволяет следить куда уходят посетители

http://bugzilla.mozilla.org/show_bug.cgi?id=145579

user_pref("capability.policy.default.Window.onunload", "noAccess");

svs (16.09.2002 11:48:37)

Re: Дыра в Мозиле позволяет следить куда уходят посетители

Скажи plz, а кому плохо от этой дырки? :)
Ну узнают, куда я ушел -- и что дальше-то? :)

Re: Дыра в Мозиле позволяет следить куда уходят посетители

privacy и все такое... а вдруг у тебя там сверхсекретный суперприватный сайт с паролем передающимся по GET =)

Re: Дыра в Мозиле позволяет следить куда уходят посетители

2 anonymous (*) (2002-09-16 12:10:59.739)
Ты пошутил, да? :)
Сверхсекретный суперприватный с паролем через GET ? :)

Секурность -- превыше всего :) Согласный :)
Но как же заимплементить столь рулезный рулез? :)))

Re: Дыра в Мозиле позволяет следить куда уходят посетители

тока сегодня 1.1 скомпилил ... а тут ...

borisych (16.09.2002 13:19:03)

Re: Дыра в Мозиле позволяет следить куда уходят посетители

в IE тоже такая херня есть ;)

Re: Дыра в Мозиле позволяет следить куда уходят посетители

2anonymous (*) (2002-09-16 14:05:06.554): А вот это - не новость! :-)

Re: Дыра в Мозиле позволяет следить куда уходят посетители

В ИЕ6 эта фенька не работает.

Re: Дыра в Мозиле позволяет следить куда уходят посетители

Привет, All Всем любителям Мозиллы посвящается :)

Удачи

Такое дело - кто можэт обяснить про mount-rainier в CDRW Teac CDW 524 E

Блин , в чём в чём - а в любом ишаке всё будет работать - то есть все дыры

manowar (16.09.2002 19:00:36)

Re: Дыра в Мозиле позволяет следить куда уходят посетители

;( Блин у всех работает, а у меня в links||lynx нифига не пашет.

Наверное не повезло :)

deepred (16.09.2002 19:13:57)

Re: Дыра в Мозиле позволяет следить куда уходят посетители

Эххх А как эту дырку в конквуероре сделать? Патчик намыльте - уж больно хоцца :):)

asoneofus (16.09.2002 20:48:10)

Re: Дыра в Мозиле позволяет следить куда уходят посетители

>All Всем любителям Мозиллы посвящается :)

Да по сравнению с эксплорными дырами эта дыра просто как игольное ушко по сравнению с камазом :)

Karmadon (16.09.2002 20:57:59)

Re: Дыра в Мозиле позволяет следить куда уходят посетители

Куки они всегда потенциальная утечка инфы. Вспомните, сколько дыр было
найдена на них. Поэтому я первым делом их отключаю в любом браузере.
Нефиг баловать вебмастеров. Пускай учатся сессии обрабатывать.

Re: Re: Дыра в Мозиле позволяет следить куда уходят посетители

<Поэтому я первым делом их отключаю в любом браузере. Нефиг баловать вебмастеров.>
Ага, и потом трахаешься, когда сайт, нужный конкретно _тебе_, их использует.

AC (16.09.2002 21:48:03)

Re: Дыра в Мозиле позволяет следить куда уходят посетители

В Netscape 7 тоже работает.

Re: Дыра в Мозиле позволяет следить куда уходят посетители

А дыра ли это? ШЮтка.

hobbit (17.09.2002 2:19:55)

Re: Re: Re: Дыра в Мозиле позволяет следить куда уходят посетители

to AC (*) (2002-09-16 21:48:03.909)
Нет, не трахаюсь. Интересных для меня сайтов, где нужны куки
практически нет. Куки - это каменный век, Нормальный сайты
пользуют сессии. Предпочтения юзера так же пишутся на самом сайте в базу и восстанавливаются при открытии сеанса. Нафиг эти куки не упали.

Re: Дыра в Мозиле позволяет следить куда уходят посетители

А еще интересно, что куки всегда очень любила пропагандировать микрошофт. Послушай, что сказала микрошофт, и сделай наоборот ;-)

Re: Дыра в Мозиле позволяет следить куда уходят посетители

Ну и когда MS пропагандировала куки? Ссылочку?

Re: Дыра в Мозиле позволяет следить куда уходят посетители

to anonymous (*) (2002-09-17 04:35:07.255) http://www.microsoft.com/info/cookies.htm

Re: Дыра в Мозиле позволяет следить куда уходят посетители

Вообще-то cookies - разработка Netscape (не для поднятия флейма, а просто для информации). Также как JavaScript и многое другое. А Mozilla - лучший браузер на свете, особенно для web-разработчиков.

Re: Дыра в Мозиле позволяет следить куда уходят посетители

anonymous (*) (2002-09-17 09:09:36.306): Ну и где там пропоганда куков? Я там вижу только объяснение где их применяют и как их контролировать. Мне всё таки пожалуйста "куки всегда очень любила пропагандировать микрошофт" пока что пропаганда исходит от тебя, анонимный брат.

Re: Re: Re: Re: Дыра в Мозиле позволяет следить куда уходят посетители

<Интересных для меня сайтов, где нужны куки практически нет.>
А для меня -- есть.
<Нормальный сайты пользуют сессии. >
Для меня нормальность сайта заключается не в технических деталаях его работы, а в содержании и его для меня интересности.

AC (17.09.2002 12:22:15)

кто заказывал konqueror ? :)

Package : Konquerer
Vulnerability : cross site scripting
Problem-Type : remote
Debian-specific: no
Upstream URL : http://www.kde.org/info/security/advisory-20020908-2.txt

A cross site scripting problem has been discovered in Konquerer, a
famous browser for KDE and other programs using KHTML. The KDE team
reports that Konqueror's cross site scripting protection fails to
initialize the domains on sub-(i)frames correctly. As a result,
Javascript is able to access any foreign subframe which is defined in
the HTML source. Users of Konqueror and other KDE software that uses
the KHTML rendering engine may become victim of a cookie stealing and
other cross site scripting attacks.

unset (17.09.2002 12:46:59)

кто заказывал Konquerer ? :)

очепятка вышла ;)

unset (17.09.2002 12:48:59)

Re: Дыра в Мозиле позволяет следить куда уходят посетители

2 anonymous (*) (2002-09-17 10:14:03.216) Если Mozilla - лучший браузер на свете, особенно для web-разработчиков... То почему эти самые web-разработчиков оптимизируют свои web-разработки под ИЕ??? ;-)

Re: Дыра в Мозиле позволяет следить куда уходят посетители

to: anonymous (*) (2002-09-17 14:27:12.242)

Разработчики проверяют свои сайты(если это норамльные разработчики)на IE, мозилле.

Дырка эта в мозилле закрывается в течение минуты либо как по ссылке написано(в теме треда) либо настройкой proxy чтоб хедер Referer давил. Вот и все солюшены =)

Re: Дыра в Мозиле позволяет следить куда уходят посетители

Э.... кто там против кук и за сессии? Раскажи-ка мне на каком интересно механизме эти сессии реализованы? Ну если не куки то что? ГЕТ что-ли?

Lexa (17.09.2002 18:14:08)

Re: Дыра в Мозиле позволяет следить куда уходят посетители

to: Lexa (*) (2002-09-17 18:14:08.886)

Можно гет можно в hidden можно настроив DNS можно еще как-то =)

Re: Re: Дыра в Мозиле позволяет следить куда уходят посетители

> Э.... кто там против кук и за сессии?

Это я... Грубо говоря куки требуют действий со стороны клиента- запиши куки/отдай куки. Если я зашел в интернет-кафе или к другу в гости... Какого хрена на чужой машине должна делать моя персональная информация?
Есть конечно одноразовые куки (на сеанс), но тогда они лишь частично решают задачу, которая перед ними поставлена. Про сессии можешь почитать, например, в документации по PHP, есть модули для перл и т.д.
Сессии инициируются сервером в виде добавки к урлу уникального Session ID, котороый сопровождает тебя во время переходов по сайту. Сервер сам
запоминает все, что от тебя нужно. Хранятся сессии в файлах или в базе.

Re: Дыра в Мозиле позволяет следить куда уходят посетители

> anonymous (*) (2002-09-17 18:37:21.508)

Ну! А потом в этом интернет-кафе смотрят хистори и... В чем разница?

В ПХП сессии реализованы прозрачно двумя способами: 1. куки 2. гет-параметр. Обрати внимание что и там и там хранится только идентификатор сессии.

А вот теперь объясни мне пожалуйста в чем преимущества второго варианта?

Lexa (17.09.2002 18:42:49)

Re: Дыра в Мозиле позволяет следить куда уходят посетители

> anonymous (*) (2002-09-17 18:25:13.866)

Как-как настроив ДНС? Ребят, вы о чем?!

Lexa (17.09.2002 18:46:29)

Re: Дыра в Мозиле позволяет следить куда уходят посетители

Вот взять к примеру этот самый сайт.
Сейчас в окне, где пишется урл видно вот что:
http://www.linux.org.ru/view-message.jsp?msgid=228840&scroll=section&...

А могло быть (если б вемастер был более образованный) вот что:
http://www.linux.org.ru/view-message.jsp?SID=blablabla&msgid=228840
Все остальные параметры (включая логин после авторизации) находятся в сессионной переменной на сервере.

Re: Дыра в Мозиле позволяет следить куда уходят посетители

>Как-как настроив ДНС? Ребят, вы о чем?!

>Lexa (*) (2002-09-17 18:46:29.347)

http://php.spb.ru/php/session.html. Вот, почитай =)

Re: Re: Дыра в Мозиле позволяет следить куда уходят посетители

2Lexa (*) (2002-09-17 18:42:49.882)
Разница в том, что в куках пишутся некие готовые данные. В сессии чужой
может посмотреть только идентификатор. Который у правильного вемастера
1) привязывается к IP, 2) имеет ограниченный срок жизни - как правило 10-15 минут, 3) юзер по окончание работы может нажать кнопку выхода из сессии, разрушая все имеющиеся данные.

Преимущество GET-параметра - его гораздо меньшая уязвимость к вскрытию
персональной информации. Если ты входишь на запароленную страницу, то
пароль твой и логин должен передаваться в куках при каждом запросе.
Для сессии ты передаешь только ничего не значащий идентификатор, а сам
обмен логином/паролем можно провести через защищенное соединение.
Плюс я уже говорил, что куки имеют достаточную заметную секьюрити историю. Сессии гораздо больше защищены.

Re: Re: Дыра в Мозиле позволяет следить куда уходят посетители

Про трюки с ДНС... это маразм на самом деле. Да, технология имеет право на жизнь... но... выглядит супер криво и далеко не все могут ей воспользоваться (пример - хостинг).

Re: Дыра в Мозиле позволяет следить куда уходят посетители

> anonymous (*) (2002-09-17 18:55:20.387)

Повторю вопрос более доходчиво. Если мы в куках храним идентификатор сессии, то чем это хуже чем его передача гет-запросом?

Ладно, объясню. Куки и сессии - это не взаимоисключающие технологии. Сравнивать их некорректно, т.к. например те же самые сессии могут быть cookies-based.

Lexa (17.09.2002 19:05:31)

Re: Дыра в Мозиле позволяет следить куда уходят посетители

> anonymous (*) (2002-09-17 18:55:02.678)

Да-а-а-а уж. Ну а это чем лучше/хуже кук или гета?

Lexa (17.09.2002 19:07:49)

Re: Дыра в Мозиле позволяет следить куда уходят посетители

to: anonymous (*) (2002-09-17 18:55:20.387)

Ну на счет привязки к IP- это совсем глупо =). Proxy есть. Вот интересна ситуация(с сессиями): к примеру зашел ты на страничку, где не используют механизма кук что-то там заполняешь в большууую форму, связь рвется и ты думаешь попить пива-водки. В течении получаса твоя сессия на сервере благополучно зачищается мусоросборщиком и надо начинать все сначала. С куками такого не получится (если ты только сам браузер не закрыл)

Re: Re: Дыра в Мозиле позволяет следить куда уходят посетители

> чем это хуже чем его передача гет-запросом?

Повторю ответ более доходчиво. С куками происходят дополнительные операции на стороне клиента - запись/чтения. Это есть та потенциальная
дырка, которую неоднократно использовали. Смотри securityfocus и другие
источники для инфомации. В остальном сессии в куках вроде ничем не отличаются.

Re: Re: Дыра в Мозиле позволяет следить куда уходят посетители

> чем это хуже чем его передача гет-запросом?

Повторю ответ более доходчиво. С куками происходят дополнительные операции на стороне клиента - запись/чтения. Это есть та потенциальная
дырка, которую неоднократно использовали. Смотри securityfocus и другие
источники для инфомации. В остальном сессии в куках вроде ничем не отличаются.

Re: Дыра в Мозиле позволяет следить куда уходят посетители

to Lexa (*) (2002-09-17 19:05:31.148)

Да ни чем не хуже! =) Просто некоторые люди их отключают и тогда твой проект, основанный на куках, просто не будет работать, а передача через гет будет работать всегда (если конечно этот параноик не отключит и гет =)) )

Re: Re: Дыра в Мозиле позволяет следить куда уходят посетители

> чем это хуже чем его передача гет-запросом?

Повторю ответ более доходчиво. С куками происходят дополнительные операции на стороне клиента - запись/чтения. Это есть та потенциальная
дырка, которую неоднократно использовали. Смотри securityfocus и другие
источники для инфомации. В остальном сессии в куках вроде ничем не отличаются.

Блин, я пас... Невозможно на этом гребанном серваке общаться. Ждешь пока запостится несколько минут!

Re: Дыра в Мозиле позволяет следить куда уходят посетители

to Lexa (*) (2002-09-17 19:05:31.148)

Да ни чем не хуже! =) Просто некоторые люди их отключают и тогда твой проект, основанный на куках, просто не будет работать, а передача через гет будет работать всегда (если конечно этот параноик не отключит и гет =)) )

Re: Дыра в Мозиле позволяет следить куда уходят посетители

Да, блин.... Сайт конечно хороший, но работает отвратительно...практически совсем не работает, жопа =(

Re: Дыра в Мозиле позволяет следить куда уходят посетители

Да, блин.... Сайт конечно хороший, но работает отвратительно...практически совсем не работает, жопа =(

Re: Дыра в Мозиле позволяет следить куда уходят посетители

> anonymous (*) (2002-09-17 19:15:08.597)

Ну в том же пхп если не удается записать сессионную куку, вроде можно автоматом на гет-параметр переключиться.

По моему мнению минусы гет-сессий:

1. Остаются в хистори
2. Остаются в логах
3. Часто гет-сессии заводятся для поисковых машин, как непринимающих куки. Бывают проблемы, если сессия с момента индексирования устарела.
4. Поисходит смешивание персональных данных пользователя с параметрами сайта. Как, например, ты кинешь ссылку другу на сайт, у которого на тебя заведена гет-сессия т.к. ты решил там цвет фона настроить? Руками будешь свою сессию из урла вычищать? Не будешь? А ты уверен что сервер привязывает сессии к ИП? То-то.
5. Ну и еще кое-какие есть, но забыл. ;)

Lexa (17.09.2002 19:28:21)