Выявлена уязвимость в Chrome, Firefox и Safari, связанная с favicon

А вдруг дизайнер хочет иконку 33mx33m, а у человека всего 2гб памяти — это уязвимость?

да, генетическая, у дизайнера

Протестировал. Браузер крашнулся и всё. Ничего не повисло.

А если серьёзно — я не понимаю как разработчики, запилившие столько версий хромога и жиролиса со всяким говном типа интеграции с соцсетями, чятиками и прочими звонилками, могли пропустить такое эпичное решето со сраными иконками сайтов, которые появились ещё в конце 90-х?

Да никому в голову не пришло так изгаляться.

Internet Explorer не подвержен уязвимости

СРОЧНО ПЕРЕКАТЫВАЮСЬ НА ЭКСПЛОРЕР

А HTML-страница размером в 9 гигабайтов не выжрет всю память?

Я прошла через 640 кб RAM. ...<br>

Ну хоть один нормальный человек. Здравствуй.

DoS тебе о чем-нибудь говорит?

Говорит. Такой чорный экран и приглашение, где можно вводить: dir C:\, format C:\. :-)

Половина отписавшихся не поняла всю глубину проблемы. Пишут, про какие-то теги, форматы.

Даже, если вебмастер blablabls.com не указал соответствующим тегом в коде страницы наличие фавикона, современные браузеры автоматически делают запрос на blablabla.com/favicon.ico в надежде на то, что фавикон там есть. Считается, что если файла всё же не окажется - ничего страшного от 1 лишнего запроса не произойдёт.

Никто до этого момента не задумывался, что можно гадить людям таким вот способом через фавикон. Поэтому, в браузерах нет проверки на то, какого размера иконка и иконка ли это вообще (иначе можно было бы сразу по первым байтам догадаться, что там какой-то хаотичный мусор вместо валидного ico).

Кстати, а чо у ЛОРа фавикона нет? :-)

если бы так. во всех этих жопогрызах хромых тоже смысл был пока ими пользовались полтора человека.

То есть в браузере есть какое-то внутреннее ограничение, которое выводит эту строчку, если изображение превышает какой-то размер?

Скорее всего, помню когда пользовался SeaMonkey — видел её довольно часто на изображениях в несколько десятков мегабайт.

Я вот одного не понимаю в инструкции по запуску:

1. Install io.js (NodeJS works too)
2. Run: node exploit.js
3. Test your browser by visiting http://localhost:3000 (or if you have process.env.PORT set then that port)

А нафига нужен js, неужели nginx/apache/lighttpd/etc не способны сами отдать favicon?

Современные розроботчики признают только нодэ.джэйэс.

Да никому в голову не пришло так изгаляться.

Проверка всех входных данных и обрезание всего сверх лимита — первые два правила нормального программиста.

Кстати, а чо у ЛОРа фавикона нет? :-)

У тебя браузер поломан, анон: www.linux.org.ru/favicon.ico

У тебя браузер поломан, анон: www.linux.org.ru/favicon.ico

Ну так а что он такой маленький? Давайте уже гигабайтный фавикон!

PS. Он у всех поломан, согласно этому топику :-)

современные браузеры автоматически делают запрос на blablabla.com/favicon.ico

А браузеры хипстеров тянут ещё и apple-touch-icon.png, и что-то мне подсказывает что там никаких проверок тоже нет.

Проверка всех входных данных и обрезание всего сверх лимита — первые два правила нормального программиста.

А нулевое правило — абстракции не должны течь.

РЕШЕТО

DoS тебе о чем-нибудь говорит? Прекрасное явление. Kernel panic!

Как страшно жыть в линупсе!

что можно гадить людям

как гадить-то? ну упал бравзер, ну и что? данные от банк-клиента можно стырить?

В чём. собственно, уязвимость? Давно можно создать создавать на js объекты, например canvas, и так отожрать всю память. Наверняка можно просто страничку мусором на терабайт заполнить, и она тоже выжрет всю память. Ну а тут favicon. В чём новость? Разница-то?

А вдруг дизайнер хочет иконку 33mx33m, а у человека всего 2гб памяти — это уязвимость?

Читал тред и вспоминал... Лет 15 назад разве не про favicon были упоминания в нескольких номерах Ксакепа на эту же тему - выбирать в качестве иконки объёмный файл? Чтобы из чистого озорства вешать браузер.

Ну... Это примерно тоже самое, что писать программу, которая потихоньку выделяет память, чтобы отправлять систему в своп. Глупо же. Да и сколько человек такую программу скачает? По-моему абсолютная аналогия с браузером. В чем уязвимость, в чем баг — мне не ясно. Иначе, давайте и в операционке запретим программы выделяющие «слишком много оперативки». Что уж там.

этими браузерами ещё кто-то пользуется?

давайте и в операционке запретим программы выделяющие «слишком много оперативки»

Давайте, и ещё принудительно ставить операционки с этой фичей на компы быдлокодеров без возможности её отключения дабы ось сразу била по наглой рыжей морде.

// Вспоминается история как какой-то кедераст побежал в магазин за памятью, поскольку не смог пошпилить в игори из-за выжравших всю память непомуков и аконади.

Internet Explorer не подвержен уязвимости.

Все, срочно перехожу на Internet Explorer. Где качать ебилды?

Все, срочно перехожу на Internet Explorer. Где качать ебилды?

https://packages.gentoo.org/package/app-emulation/wine

Старая фишка, упыри нормальным пацанам чатики давно вешают этим фаршем, ограничивай размер пикчей и живи счастливо называтся!1

Я как-то сгенерировал html на 200Mb - таблица на 100 000 строк и 50 столбцов. Ни один браузер не смог открыть - выжрали всю оперативку и падали. Это тоже уязвимость?

Почти аналогичная ситуация, всего-то текстовый файл на 151Мб. Не сам браузер не падал, но тормоза были невозможные. Пробовал на разных браузерах, везде одно и тоже было. Не уязвимость конечно, но баг однозначно, при учете, что обычный текстовый редактор открывает влет и спокойно работает.

Да, но на цепепе написать говнокод проще простого.

Вы путаете понятия, на ц/цпп проще «выстрелить себе в ногу», а говнокод это ко всяким php c# java &etc.

я же говорю, проблема не в цепепе, а в тех, кто его использует.

Я бы поправил, «…а в том как его используют». Одним и тем же молотком, одни и те же гвозди можно по разному забить.

Говорит. Такой чорный экран и приглашение, где можно вводить: dir C:\, format C:\. :-)

У вас похоже чего-то со шрифтами не то, регистр у букавак не различается :)
ЗЫ Да и со знаем предметной области похоже тоже, даже одну команду правильно набрать не можете.

Иначе, давайте и в операционке запретим программы выделяющие «слишком много оперативки».

Давно пора, глядишь хоть тогда java сдохнет.

да в школе уже давно это не проходят, видать.

В реальности происходит примерно так: сначала начинается сваппинг, чем дальше тем хуже, система начинает жутко тормозить, так может продолжаться минут 30-60+. В какой-то момент может инвокнуться оом-киллер, но он норовит убить «неважные» процессы вроде sshd, bash, getty, login и прочие подобные. В какой-то момент система приходит в полностью нерабочее состояние - реакция на нажатие клавиши клавиатуры занимает по 1-2 минуты, простые команды отрабатывают очень медленно т.к. система в свапе, свап на диске, диск тормозит, прочитать библиотеки и бинарники с диска занимает вечность. Семь бед - один резет.

Точно так же бывает и на серверах, когда какой-то процесс выжирает память, но оом-киллер его не трогает, т.к. это ж «активный» процесс. Тоже резет спасает.

Уязвимость из разряда белых гифок 1х1000 во времена момедов.

нуу, можно, конечно, пытаться дрессировать программистов. но мой опыт показывает, что это малоэффективно. есть люди, которые сразу понимают суть программирования, а есть те, кого можно сто раз ткнуть носом в ошибки, но они не отражают и продолжают упорно наступать на те же грабли. я даже подрабатывала когда-то репетитором по математике и программированию и это меня ещё раз убедило в том, что некоторые люди в принципе не способны к логическому мышлению. и никакими силами их невозможно научить. бывает мышление сродни базе данных: человек запоминает кучу фактов и при решении задачи выбирает подходящие варианты из уже известных. это типичные гуманитарии. они не способны сгенерировать новое решение, если оно им заранее не известно. и когда такой человек случайно попадает в программирование, он плодит копипаст и говнокод, при этом регулярно создавая баги, которые потом за ним надо вычищать. лучше не пытаться научить его программировать, а отправить сразу в менеджеры.

В фильтр эдблока добавляйте!

По сути согласен с Вами полностью. Но я указал на не очень корректную формулировку. Звучит так как будто все кто использует цпп «неправильные люди» :)
А так да, людей которые способны мыслить только шаблонами в программировании, надо гнать подальше.

Внезапно, почти вся разработка это шаблоны. Надо только пользоваться правильными в каждом кокретном случае, а неправильными не пользоваться. А вот таких художников гнать ссаными тряпками.

людей которые способны мыслить только шаблонами в программировании

Почему-то вспомнилось про ООП паттерны... Ты знал? Ты знал! ))

Не! Без художников ничо двигаться не будет. Таких художников просто не надо допускать к деплою/продакшну. Так то пусть велосипедят.

Кстати, интересный факт, в коллективе меня считают одаренным разработчиком с оригинальными решениями сложных проблем. А на самом деле пятнадцатилетний опыт позволяет вообще не думать — шаблоны во все поля.

есть такое. когда есть опыт в какой-то области, решение видно практически сразу. и даже в непонятных ситуациях метод инженерного тыка на уровне интуиции чаще всего срабатывает. потому что интуиция - продукт опыта.
паттерны всё равно знать надо. не потому, что это круто. а потому что это всё равно придёт, рано или поздно. каждый сам свои паттерны нарабатывает и применяет.

паттерны всё равно знать надо

Конечно, если по недомыслию использовать цепепе там, где многим лучше было бы использование более адекватного инструмента, то паттерны, те что от четырёх, знать надо, куда ж деваться беднягам. Надо, так надо... А вообще, паттерны надо знать разве что на лорах лясы чесать, или понимать о чём говорит цепепешник, имея в виду «посетитель» или «фасад». Более полезно знать хороший инструмент для генерации своих высокоабстрактных языков для решения задач. Ну и математику ещё. А паттерны - это из-за ущербности цепепе, ну и жавы. :-)

Говно, а не «уязвимость». Так можно любой файл послать в 1ТБ. И че это за атака такая? Сервер атакует клиентов?

Поддерживаю.

Интересно, если сервер браузеру 10-гиговую страничку отдаст, эффект будет тот же?

Интересно, если сервер браузеру 10-гиговую страничку отдаст, эффект будет тот же?

Попробуй. 5 минут делов и ты в теме.