Исправление user_id_68054, (текущая версия) :
а почему это не фиксят на стороне браузера?где используется эта багофича?
почему-то браузеро-строители считают что это не баг а фича, да.. не знаю почему.. я для себя — десяток лет назад это обнаружил (но в то время даже не знал что это называется CSRF, и что это аж с 2001-года уже обнаружено ещё до меня, и до сих пор всё так плачевно)...
помню первый раз когда я открыл для себя этот феномен — то поудалял (эксперимента ради) у какой-то известной актисы 100 друзей из её liveinternet-блога.
но в то время я был просто шокирован — я даже не знал что это сработает.. а оно бац и сработало.. я просто реально офигел..
(хотя зря офигел — так как в liveinternet до сих пор есть неисправленная XSS-дыра, которую годок назад я обнаружил, а она всё ещё есть... самая обычновенная XSS-дыра... позор вобщем)
на сегодняшний день — у многих интерактивных сайтов — можно через CSRF — менять пароли пользователей, в их аккаунтах.
в 51t — нет аккаунта как такового, поэтому и пароль поменять нельзя из браузера..
а на linux.org.ru — всё пучком — CSRF проверяется нормально и качественно! (на linux.org.ru — есть только ClickJacking — но его сложно эксплуатировать, и Максимка видимо тоже считает что это не сильно большая дыра... но всё равно Pull Request я отправил — https://github.com/maxcom/lorsource/pull/581 как добропорядочный хрестиянин :))
Исправление user_id_68054, :
а почему это не фиксят на стороне браузера?где используется эта багофича?
почему-то браузеро-строители считают что это не баг а фича, да.. не знаю почему.. я для себя — десяток лет назад это обнаружил (но в то время даже не знал что это называется CSRF, и что это аж с 2001-года уже обнаружено ещё до меня, и до сих пор всё так плачевно)...
помню первый раз когда я открыл для себя этот феномен — то поудалял (эксперимента ради) у какой-то известной актисы 100 друзей из её liveinternet-блога.
но в то время я был просто шокирован — я даже не знал что это сработает.. а оно бац и сработало.. я просто реально офигел..
(хотя зря офигел — так как в liveinternet до сих пор есть неисправленная XSS-дыра, которую годок назад я обнаружил, а она всё ещё есть... самая обычновенная XSS-дыра... позор вобщем)
на сегодняшний день — у многих интерактивных сайтов — можно через CSRF — менять пароли пользователей, в их аккаунтах.
в 51t — нет аккаунта как такового, поэтому и пароль поменять нельзя из браузера..
а на linux.org.ru — всё пучком — CSRF проверяется нормально и качественно!
Исходная версия user_id_68054, :
а почему это не фиксят на стороне браузера?где используется эта багофича?
почему-то браузеро-строители считают что это не баг а фича, да.. не знаю почему.. я для себя — десяток лет назад это обнаружил (но в то время даже не знал что это называется CSRF, и что это аж с 2001-года уже обнаружено ещё до меня, и до сих пор всё так плачевно)...
помню первый раз когда я открыл для себя этот феномен — то поудалял (эксперимента ради) у какой-то известной актисы 100 друзей из её liveinternet-блога.
но в то время я был просто шокирован — я даже не знал что это сработает.. а оно бац и сработало.. я просто реально офигел..
(хотя зря офигел — так как в liveinternet до сих пор есть неисправленная XSS-дыра, которую годок назад я обнаружил, а она всё ещё есть... самая обычновенная XSS-дыра... позов вобщем)
на сегодняшний день — у многих интерактивных сайтов — можно через CSRF — менять пароли пользователей, в их аккаунтах.
в 51t — нет аккаунта как такового, поэтому и пароль поменять нельзя из браузера..
а на linux.org.ru — всё пучком — CSRF проверяется нормально и качественно!