А это не больно?

да тут и так все отузели давно

Чего то не работает в ff - нужно явно указывать что в фрейме ?

Модераторы, зацените: http://xsrf.ath.cx/approve1.html.

>Чего то не работает в ff - нужно явно указывать что в фрейме ?

Что там? У меня тоже FF. И работает.

Это proof of concept баги с кукисами или что?

Опера 9.20 - работает. А я поначалу и не заметил =)

хм...а куку можно таким образом тихо запостить куданить? :)

Хочешь стырить пароль JB и отмодерасить всех кедофилов?

> Чего то не работает в ff

Если я правильно понял, NoScript (любое отключение скриптов с белым списком) от этого спасает.

я - тузег

без вопросов

>Хочешь стырить пароль JB и отмодерасить всех кедофилов?

Да он и сам их вроде не плохо модерасит >_<

>хм...а куку можно таким образом тихо запостить куданить? :)

http://www.securiteam.com/securityreviews/5EP0L2KHFG.html

В кратце - если у тебя есть домен something.org.ru, можешь сделать cookie JSESSIONID=id_твоей_сессии для .org.ru (так как домен второго уровня), при заходе на ЛОР человек будет использовать твою сессию (браузер не сообщает сайту, кто и для какого домена поставил cookie), залогинится в ней, после этого ты сможешь в своей сессии пользоваться его аккаунтом. Аналогично с SSL - человек может сделать <img alt="" src="http_://www.bank.com/"; /> в какой-нибудь из просматриваемых тобой страниц, поставить прозрачный прокси (man-in-the-middle), который будет в ответах сервера добавлять Set-Cookie с нужным ID сессии, при последующем логине в http_s_://www.bank.com/ эта сессия будет использована, человек сможет зайти в твою сессию.

Я вижу один более-менее безопасный вариант: использовать HTTP-аутентификацию вместо кукисов.

>Если я правильно понял, NoScript (любое отключение скриптов с белым списком) от этого спасает.

От <img alt="" src="http://www.linux.org.ru/login.jsp?nick=t00zeg&passwd=t00zeg" /> не спасет, даже не надейтесь. :)

я тузег больше тебя

что за прикол ?

Гы , весело

Сырцы в студию!

>Сырцы в студию!

man curl

а со мной все в порядке ?