зы может им к чертовой матери переписать JavaScript? ззы кстати, проще отключить возможность: software installation (установка программного обеспечания) - и уязвимость не должна работать зззы в Linux (сборка MDK) эксполит не фига не работает...

Вот хорошо!

Больше дырок находят и фиксят, меньше остается :)

интересно, а в мозиле эти эксплоиты работают?

> Единственным решением на данный момент является ...

...является кастрация ВСЕХ въеб-девелоперов, которые делают сайты на жабоскрипте и полный отказ от этого маразматического языка.

прально, анонимные аналитики давно предупреждали что для веб скриптов надо использовать лисп, а не этот пропеарый недоязычок.

>> Единственным решением на данный момент является ...

> ...является кастрация ВСЕХ въеб-девелоперов, которые делают сайты на жабоскрипте и полный отказ от этого маразматического языка.

включая ЛОР ? или все-таки сделаем исключение

>...является кастрация ВСЕХ въеб-девелоперов, которые делают сайты на жабоскрипте и полный отказ от этого маразматического языка.

Ни чё подобного! JavaScript как раз нормальный! А вот Firefox реальный маразм...

> включая ЛОР ? или все-таки сделаем исключение

не путай java script с jsp

включая гугле?

>прально, анонимные аналитики давно предупреждали что для веб скриптов надо использовать лисп, а не этот пропеарый недоязычок.

буагагага!

Solution:
1) Disable JavaScript.

2) Disable software installation: Options --> Web Features --> "Allow web sites to install software"

NOTE: A temporary solution has been added to the sites "update.mozilla.org" and "addons.mozilla.org" where requests are redirected to "do-not-add.mozilla.org". This will stop the publicly available exploit code using a combination of vulnerability 1 and 2 to execute arbitrary code in the default settings of Firefox.

Прослеживается тенденция нахождения багов для огнелиса. Мой совет - юзайте оперу.

http://it.slashdot.org/article.pl?sid=05/05/08/135217&threshold=1&tid...

вот тут рассказывают

> Are you telling me you expect a noob to know this? How is my grandmother supposed to know of this?

Know what? Whats wrong with your grandma, Alzheimer's?

> Why doesn't the little red arrow (update icon) display yet?

Because you don't need to update anything. It was fixed on updates.mozilla.org. The site needs to be in your white list of sites that are allowed to install software to be vulnerable. I'm sure they will have a more permanent fix later at some point, but the current exploit no longer works. Go ahead and try it.

> So, as far as I'm concerend -- it's not.

But you're a bit of a fool, so I'm not sure your opinion counts.

Что в переводе означает: "дурни, не ведитесь на провокацию, все уже давно починили и дергаться не надо."

> Прослеживается тенденция нахождения багов для огнелиса. Мой совет - юзайте оперу.

А нафиг юзать оперу, когда уже юзаешь Лису?

обычно те, кто называет JavaScript недоязыком на него никогда как следует не смотрели. то, что синтаксис похож и в названии Java есть - ни о чем не говорит

> обычно те, кто называет JavaScript недоязыком на него никогда > как следует не смотрели. то, что синтаксис похож и в названии > Java есть - ни о чем не говорит

Поддерживаю предыдущего оратора:

http://www.dklab.ru/chicken/nablas/38.html http://www.dklab.ru/chicken/nablas/39.html http://www.dklab.ru/chicken/nablas/40.html

Узнаю ЛОР... нет, серьезно сейчас пойдет спор, о том, что жаба это гуд, а скрипт это х... в общем как всегда. Кстати особенность ошибки такова, что она уже не работает :)

посмотрели бы сколько уязвимостей в ослике :) там вообще солюшен не включать комп :D

пока не сделают легкий(имеется ввиду по ресурсам) и практичный браузер,каким я считал когда вышел файрфокс,буду юзать оперу и мозиллу + линкс

У меня пример эксполита не работает, что я делаю не так?

>У меня пример эксполита не работает, что я делаю не так?

Должон работать!

Проверено: Demetrio (*) 09.05.2005 16:40:57

Он компьютер включить забыл :)

Demetrio?

а вы сам кто будете?

Не надо наезжать лишний раз на JavaScript. Я им сам редко пользуюсь, но иногда он бывает полезен...

>>а вы сам кто будете? В том смысле, что если вы сами никогда не разрабатывали серьёзных сайтов, то не стоит спешить с вердиктами.

> Мой совет - юзайте оперу.

Ну нафиг - недобровзер. Только-только поддержку js болеее или менее нормальную приделали... Делал функцияю для вставки текста в поле textares по месту курсора, так вставляет, позицию курсора меняет, а сам курсор - на старом месте мигает. Пилять... :-F

абсолютно согласен..

как язык JavaScript намного круче Java. тут и prototype-based OO и first-class functions и closures.

другое дело, что про это большинство пользователей (и не пользователей) языка понятия вообще не имеют :)

Re:

>>Больше дырок находят и фиксят, меньше остается :)

Этот принцип больше подходит к софту, который долго не обновляется, например к ИЕ. А с фофанским подходом "в новой версии мы убрали кучу старых глюков и попутно добавили новых" такой принцип не катит.

>...является кастрация ВСЕХ въеб-девелоперов, которые делают сайты на жабоскрипте и полный отказ от этого маразматического языка.

А не проще от ФайрФокса отказаться?

Re:

> Этот принцип больше подходит к софту, который долго не обновляется, например к ИЕ. А с фофанским подходом "в новой версии мы убрали кучу старых глюков и попутно добавили новых" такой принцип не катит.

C чего ты взял, что добавили новых? Новые добавляются при глобальных изменениях, и то не всегда. Когда одну ветку вылизывают, чем больше фиксят, тем меньше остается. :) Тем более последние дыры были еще с давних времен кода. Так что все путем.

Re:

ты до этого сам додумался или тебя дядя гейтс с балмером гетзефакнули?

> The problem is that "IFRAME" JavaScript URLs are not properly protected from being executed in context of another URL in the history list. This can be exploited to execute arbitrary HTML and script code in a user's browser session in context of an arbitrary site.

Гы. Нет, ну просто гы-гы-гы. IE переболел IFRAME-болезнью уже много лет назад, но это, видимо, грабли, на которые прямо-таки обязан наступить каждый.

> Что в переводе означает: "дурни, не ведитесь на провокацию, все уже давно починили и дергаться не надо."

метод использования firefox включает в себя необходимость чтения bugtraq/slashdot/etc..? :)

МС домашних юзверов заставить качать фиксы не может. И не только домашних...

Да ну. Если пользователь не хочет быть защищенным, то заставлять его бессмысленно :)

> А не проще от ФайрФокса отказаться?

И бровзить lynx'ом? :) Проблема-то не в дырах! Просто если ВСЕ сайты будут использовать простой ХТМЛ, то и включать этот дебильный жабоскрипт никогда не придется.

А нафиг от него отказываться?

> А не проще от ФайрФокса отказаться?

Теперь уже сложнее будет отказаться. Раскрутили PR-щики, народ подхватил. Те же, кому надо ехать, а не шашечки, юзают Konqueror и горя не знают.

> Просто если ВСЕ сайты будут использовать простой ХТМЛ, то и включать этот дебильный жабоскрипт никогда не придется.

смешной ты человек, в самом деле...
оглянись вокруг - 21 век. без яваскрипта сейчас - никак.
js - это уже давно не просто фишка для
return confirm на кнопке удаления. это навороченный OO-язык,
с помощью которого делаются красивые и удобные сайты типа гмыла.

>> обычно те, кто называет JavaScript недоязыком на него никогда > как >следует не смотрели. то, что синтаксис похож и в названии > Java есть - >ни о чем не говорит
>
>Поддерживаю предыдущего оратора:
>
>http://www.dklab.ru/chicken/nablas/38.html >http://www.dklab.ru/chicken/nablas/39.html >http://www.dklab.ru/chicken/nablas/40.html
>
>you-name-it (*) (09.05.2005 20:19:40)

мды, ребята;
одно слово: python
и точка

> без яваскрипта сейчас - никак

Чушь. Так или иначе, но жабоскрипт сдохнет. Проблема современного Интернета в том, что все пытаются скрестить ужа с ежом: С одной стороны, иметь верстку на уровне паблишинга, а с другой - всякие рюшечки, ПРИСУЩИЕ ПОЛНОЦЕННЫМ ЯЗЫКАМ ПРОГРАММИРОВАНИЯ. Но извините, это ДВЕ РАЗНЫЕ ЗАДАЧИ! И жабоскрипт здесь - неполноценное дитя прогресса, которое заставляют оживлять дурацкие странички. Гипертекст - вот основа Интернета, все остальное (SOAP, JavaScript, etc) - от лукавого.

>мды, ребята; одно слово: python и точка

Только что хотел написать то же самое )) А кто вообще раньше догадался до всех этих фишек с метаклассами и пр. Всегда ли JavaScript был таким ? Я сам никогда не использовал всех этих трюков с объектами, не было надобности. Прочитав эти три статьи, у меня парям дежавю, как будто я читаю наставления Гвидо.

> Просто если ВСЕ сайты будут использовать простой ХТМЛ, то и включать этот дебильный жабоскрипт никогда не придется.

А ещё есть такой формат - TXT. Рулит так, что аж обруливается. Всё просто и ясно, никаких заморочек.

Из одного языка идеи тырили - из perl. Впрочем, perl сам по себе - коллекция идей из разных языков.

>Из одного языка идеи тырили - из perl. Впрочем, perl сам по себе - коллекция идей из разных языков.

Осведомленность поражает. И что же из перла _тырили_?

В общем, как и предсказывалось - больше пользователей, больше дыр. Чудес не бывает - писать программы не умеет никто :)

>SOAP

SOAP-то чем не угодил? Ну толстый, ну неудобный, кривой. Зато хоть какое-то соглашение.

>JavaScript

А что делать с сайтами типа GMail?

gmail мона через evolution смотреть или через любой мыл-клиент, который pop3 держит..

Ну ты же понимаешь неравноценность этой замены :)

> включая ЛОР ? или все-таки сделаем исключение

ЛОР использует жабку на сервере, а не жабоскрипт в хытымыле.

Re:

> C чего ты взял, что добавили новых? Новые добавляются при глобальных изменениях, и то не всегда. Когда одну ветку вылизывают, чем больше фиксят, тем меньше остается. :)

Угу, угу, угу. Когда ослика травили за его баги и ржали над майкрософтом с такими же аргументами про исправление багов в IE, думали иначе. А теперь скромненько так, раз баги правят, мол меньше их. Вот погодите эта жуткая куча безобразно спроектированного кода с наследием и от глюкскейпа еще, уже радует мир тормознутостью и багами, еще расплюются люди как распробуют.