LINUX.ORG.RU

да тут и так все отузели давно

bugmaker ★★★★☆
()
Ответ на: комментарий от SI

>Чего то не работает в ff - нужно явно указывать что в фрейме ?

Что там? У меня тоже FF. И работает.

true
() автор топика

Это proof of concept баги с кукисами или что?

mutronix ★★★★
()

Опера 9.20 - работает. А я поначалу и не заметил =)

applesin
()
Ответ на: комментарий от SI

> Чего то не работает в ff

Если я правильно понял, NoScript (любое отключение скриптов с белым списком) от этого спасает.

acheron ★★★★
()
Ответ на: комментарий от dn2010

>Хочешь стырить пароль JB и отмодерасить всех кедофилов?

Да он и сам их вроде не плохо модерасит >_<

Ygor ★★★★★
()
Ответ на: комментарий от geek

>хм...а куку можно таким образом тихо запостить куданить? :)

http://www.securiteam.com/securityreviews/5EP0L2KHFG.html

В кратце - если у тебя есть домен something.org.ru, можешь сделать cookie JSESSIONID=id_твоей_сессии для .org.ru (так как домен второго уровня), при заходе на ЛОР человек будет использовать твою сессию (браузер не сообщает сайту, кто и для какого домена поставил cookie), залогинится в ней, после этого ты сможешь в своей сессии пользоваться его аккаунтом. Аналогично с SSL - человек может сделать <img alt="" src="http_://www.bank.com/"; /> в какой-нибудь из просматриваемых тобой страниц, поставить прозрачный прокси (man-in-the-middle), который будет в ответах сервера добавлять Set-Cookie с нужным ID сессии, при последующем логине в http_s_://www.bank.com/ эта сессия будет использована, человек сможет зайти в твою сессию.

anonymous
()
Ответ на: комментарий от anonymous

Я вижу один более-менее безопасный вариант: использовать HTTP-аутентификацию вместо кукисов.

true
() автор топика
Ответ на: комментарий от acheron

>Если я правильно понял, NoScript (любое отключение скриптов с белым списком) от этого спасает.

От <img alt="" src="http://www.linux.org.ru/login.jsp?nick=t00zeg&passwd=t00zeg" /> не спасет, даже не надейтесь. :)

true
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.