Дыра в Мозиле позволяет следить куда уходят посетители

0

0

Была обнаружена дыра в Мозиле в плоть до 1.2а, которая позволяет владельцам веб страничек смотреть куда уходят песетители страницы. Демонстрация дыры доступна http://members.ping.de/~sven/mozbug/r...

>>> Подробности

←	Squid-2.5PRE13 Released

Amazon начинает тестирование ПО Oracle на Linux

→

ЗАСТАВЬ КОМПЬЮТЕР ПОЛИВАТЬ ОГОРОД

автоматизация своими руками: электроприборы под контролем компьютера
beware of programmers who carry screwdrivers!
http://www.unicontrollers.com/products/unc01x

← 1 2 →

[#]

Re: Дыра в Мозиле позволяет следить куда уходят посетители

to: Lexa (*) (2002-09-17 19:28:21.313)

Ну есть еще простой способ- это в формы засовывать как скрытое поле- тогда будет ПОСТ =)

anonymous (17.09.2002 19:35:30)

[#]

Re: Дыра в Мозиле позволяет следить куда уходят посетители

> anonymous (*) (2002-09-17 19:35:30.21)

Формы, между прочим, с методом гет тоже бывают. Это так, на всякий случай.

Потом в ПХП случае нещадно эксплуатируется пост на гет (пост на скрипт с гет-параметрами) и сессия все равно в гет уйдет.

Ну и потом все на свете постом не сделаешь...

Lexa

(17.09.2002 20:00:35)

[#] Ответ на: Re: Дыра в Мозиле позволяет следить куда уходят посетители от Lexa 17.09.2002 19:28:21

Re: Re: Дыра в Мозиле позволяет следить куда уходят посетители

> 1. Остаются в хистори

И становятся бесполезны через 15 минут. Какая беда?

> 2. Остаются в логах

А здесь что за проблема?

> Бывают проблемы, если сессия с момента индексирования устарела.

Для поисковых машин даже 5 минут - уже вечность. В реальной жизни ты
можешь зайти через минуту с тем же поиском и не найти материал или
найти его обновленным. Это нормально. Это переменные данные! Сохраняй
важные данные на диск...

> 4. Поисходит смешивание персональных данных пользователя с параметрами сайта.

Не происходит. Ты просто знаком с простейшей технологией работы с сессиями. На самом деле она может быть люой сложности. Взгляни на
библиотеку phplib. Там обрабатываются как временные (сессионные)
параметры, так и долговременные предпочтения юзера.

> Как, например, ты кинешь ссылку другу на сайт

Можешь отрезать, а можешь нет. Сервер распознает другой IP и выдаст
автоматом новый идентификатор. Твой цвет конечно потеряется. Но это ж был _твой_ цвет ;-)

> А ты уверен что сервер привязывает сессии к ИП?

Это задача грамотного программера проследить за этой обязательной проверкой.

anonymous (17.09.2002 20:52:52)

[#]

Re: Дыра в Мозиле позволяет следить куда уходят посетители

Интересно, как горяие головы предлагают хранить предочтения пользователя после 15 минут? Методом телепатии? Или в обязаловку проходить регистрацию?. Правильно организованая кука сильно облегчает решение этой проблемы. Я не говорю, что юзеру надо вываливать все 20 (или более) параметров в виде отдельных кук. Вполне подойдет решение как в сессии, но через куку.

PS. Любая новая технология вызывает кучу желающих объявить все наработаное ранее отстоем. Мне вспоминается как в свое время было повальное увлечение С++. Прошли годы, но обычный С так и не помер... Не так уж он и плох видать для _своих_ задач.

anonymous (17.09.2002 23:45:23)

[#]

Re: Дыра в Мозиле позволяет следить куда уходят посетители

> anonymous (*) (2002-09-17 20:52:52.556)

Не, ну можно заново велосипед изобретать. Только нафига? То что тебе пишут куки тебя приводит в сосотояние аффекта, а то что к каждому твоему урлу прилепляется номер твоего банковского счета это нормально. Ну пожалуйста...

Куки изначально разработаны как механизм поддержки сессии при работе по HTTP. Почему бы им не воспользоваться?

То что ты так доверяешь создателям тех сайтов, на которых ты тусуешся говорит только о том что все они находятся на адресе 127.0.0.1 В противном случае откуда ты знаешь сколько времени там длится сессия и сверяется ли IP, группа крови или рисунок сетчатки?

Ну и так, приколу ради... Вопрос: Где дыр было больше? В куках или в гете? Ну комрад Анонимус, порази нас глубиной своей необразованности! ;)

Сессии у него видете ли по-разному устроены... Павлины, говоришь? Хех...

Lexa

(18.09.2002 3:47:27)

[#] Ответ на: Re: Дыра в Мозиле позволяет следить куда уходят посетители от anonymous 17.09.2002 23:45:23

Re: Re: Дыра в Мозиле позволяет следить куда уходят посетители

> Интересно, как горяие головы предлагают хранить предочтения пользователя после 15 минут?

В таблице базы данных, в файле, что больше нравится. Имеется в виду, что юзер авторизовался на сервере, В его сессии появляется его user_ID.
По user_ID вытаскиваются/пишутся его предпочтения из/в соотвествующей таблицы/файла. Ничего сложного.

> Вполне подойдет решение как в сессии, но через куку.

Прекрасно. Только это решение разваливается в случае отключенных кук у пользователя. Если сайт ну очень крутой и нужный, юзер наверное превозмогет лень и включит куки на время, а если нет, то ау, вебмастер,
пользователь ушел от вас...

anonymous (18.09.2002 4:13:14)

[#] Ответ на: Re: Дыра в Мозиле позволяет следить куда уходят посетители от Lexa 18.09.2002 3:47:27

Re: Re: Дыра в Мозиле позволяет следить куда уходят посетители

> То что тебе пишут куки тебя приводит в сосотояние аффекта, а то что к каждому твоему урлу прилепляется номер твоего банковского счета это нормально.

Ну зачем же передергивать, ты же отлично понимаешь, что соврал. Ну не меняешь ты банковский счет при кадом посещении банка...

> Куки изначально разработаны как механизм поддержки сессии при работе по HTTP. Почему бы им не воспользоваться?

Все недостатки кук уже перечислялись дважды. Кто не понял - я не виноват.

> То что ты так доверяешь создателям тех сайтов, на которых ты тусуешся говорит только о том что все они находятся на адресе 127.0.0.1 В противном случае откуда ты знаешь сколько времени там длится сессия и сверяется ли IP

Я сам веб-программист, и то, про что я говорю, я сталкиваюсь с этим ежедневно далеко за пределами 127.0.0.1. Никому я не доверяю и вам не советую. Сверка IP и ограничение сессии по времени - это стандартные вещи для тех, кто занимается этим, интересуется литературой соответствующей, изучает примеры хороших реализаций.

На счет необразованности ты зря дерзишь. Малолеток что ль?

anonymous (18.09.2002 4:27:19)

[#]

Re: Дыра в Мозиле позволяет следить куда уходят посетители

> anonymous (*) (2002-09-18 04:27:19.895)

Я ужасно извиняюсь что разбил свое предидушее (недлинное в общем) сообщение на столько параграфов. Ты посторайся вспомнить о чем именно мы говорим, прочитай мое сообщение еще разок. Если не помогло - выжди пару дней и возобнови попытки.

Не, мои слова можно разорвать на буквы и сложить из них почти любые слова, но... Ты понял, да?

Lexa

(18.09.2002 4:47:31)

[#]

Re: Дыра в Мозиле позволяет следить куда уходят посетители

За куки с банковским счётом убивать надо.

anonymous (18.09.2002 8:30:04)

[#]

Re: Дыра в Мозиле позволяет следить куда уходят посетители

to: Кто сверяет IP =)

Сверка IP это глупое занятие! Через прокси провайдера валит куча человек, а X-Forward очень часто гасят. А банковские технологие, конечно не на куках основаны =))

anonymous (18.09.2002 9:17:33)

[#]

Re: Дыра в Мозиле позволяет следить куда уходят посетители

to: Lexa (*) (2002-09-17 20:00:35.949)

Метод ГЕТ не рекомендуют использовать в формах по многим причинам, описанным в разных доках. Да и на мой взгляд это не принципиально ГЕТ там или ПОСТ, поэтому можно использовать ПОСТ =)

anonymous (18.09.2002 9:21:13)

[#]

Re: Дыра в Мозиле позволяет следить куда уходят посетители

> anonymous (*) (2002-09-18 09:21:13.616)

Ну вот ты как-нть букмарку на страницу, сгенеренную по посту попробуй поставить...

Lexa

(18.09.2002 12:42:49)

[#]

Re: Дыра в Мозиле позволяет следить куда уходят посетители

to: Lexa (*) (2002-09-18 12:42:49.931)

Ну это то понятно что не покатит =). Мда-а-а... Все запросы хороши выбирай на вкус!

anonymous (18.09.2002 13:16:29)

[#]

Re: Дыра в Мозиле позволяет следить куда уходят посетители

Да уж... и объясняли ему 4 раза что сверять с IP глупо и толку хоть бы чуть...

PS: Я не вкупился че вы прикопались к запросам и кукам - ну есть, ну так это же рулез... а то что реферы можно читать... так это нормально и имхо совсем не баг... А для секурити и всяких хитрых систем, передающих пароли есть всякие умные хитрости...

eXOR

(18.09.2002 17:20:57)

[#]

Re: Дыра в Мозиле позволяет следить куда уходят посетители

Скользкий ты человек, Lexa. Противно с тобой разговаривать.

anonymous (18.09.2002 17:21:59)

[#]

Re: Дыра в Мозиле позволяет следить куда уходят посетители

2eXOR (*) (2002-09-18 17:20:57.249)

И как ты сам оцениваешь объяснения про глупость сверки IP?
- на прокси крупного провайдера сидит от силы 1000 человек одновременно
- допустим, что хотя бы половина всех проксей в инете к тому же выдает HTTP_X_FORWARDED_FOR

Посчитал сколько человек могут воспользоваться конкретно твоей сессией, если подсмотрят ее?
А теперь сравни со всем интернетом, мудило, и представь, что IP не проверяется.

anonymous (18.09.2002 17:28:32)

[#]

Re: Дыра в Мозиле позволяет следить куда уходят посетители

Уже есть.
http://bugzilla.mozilla.org/show_bug.cgi?id=162870

eXOR

(18.09.2002 17:28:45)

[#]

Re: Дыра в Мозиле позволяет следить куда уходят посетители

Очень хочется узнать - когда на alt появится mozilla 1.0.1?
Очень не хочется самому поддержу xft собирать, тем более, что
где-то здесь писали, что и не у всех собирается.

jackill

(19.09.2002 19:11:36)

← 1 2 →

←	Squid-2.5PRE13 Released

Mozilla

Amazon начинает тестирование ПО Oracle на Linux

→