То видимо должен быть «ручник». Который должен предложить браузер и если его пользователь игнорирует - то виноват сам пользователь.

Если файлик не помещается в свободную оперативную память или свободное место на диске, разве что так )

ретина

Эти придумали apple-touch-icon.png же.

Если файлик не помещается в свободную оперативную память или свободное место на диске, разве что так )

Ну как то так. Ведь не показать сиськи объёмом более чем установленным программистом - это ведь «нарушение прав» в ограничении к контенту.

Это ведь определенный склад ума надо иметь

Тестеры да искатели уязвимостей обязаны иметь подобный склад ума, как раз именно чтобы искать в системе, где «всё» предусмотрено это самое «непредусмотренное» :-)

Эти придумали apple-touch-icon.png же.

т.е. хипстеры разные тоже плюсуются к вышесказанным лярдам
от жеж

тоже что-то такое припоминаю, было дело с вэбом под ифоны

т.е. хипстеры разные тоже плюсуются к вышесказанным лярдам

Самое главное что хипстеры упомянуть название своей конторки в имени файла не забыли.
P.S. http://realfavicongenerator.net/ — предлагаю оценить количество велосипедов файлов в результирующем архиве.

issue на гитхабе

IE11 on Win7 crashed my system completely.

Ну так по памяти всеравно лимитов нет. Ох щи.. Ну как можно не проверять на размер входные данные? Их же всеравно получаешь последовательно. Счетчик прикрутил и фсё, до максималочки дошел, освободил память и вывел в лог записку, мол, мы хотели, мы старались, а тут вона чо.

Плохой гугл
«Сидит программист, отлаживает комп» != «Сидит программист, отлаживает программу»
А точнее было так ( как я помню):
Сидит папа программист в глубокой отладке... дальше текст приблизительно совпадает :)

Ну так по памяти всеравно лимитов нет. Ох щи.. Ну как можно не проверять на размер входные данные? Их же всеравно получаешь последовательно. Счетчик прикрутил и фсё, до максималочки дошел, освободил память и вывел в лог записку, мол, мы хотели, мы старались, а тут вона чо.

Ну да, вот я и про то же - повесить все эти «невозможности» на пользователя. Его ответ - будет решающим.

IE11 on Win7 crashed my system completely.
I just tested IE7. It's not vulnerable, surprisingly - what would you need in a pull for this? More tests later.

IE IE рознь. Интересно сколько еще таких детских багов, до которых просто не у всех хватит фантазии. Уверен уйма.

Opera снова никто не смог взломать?!
Ну что ж, это не удивительно.

Действительно. А впрочем, может им разрешение на эксгумацию не дали.

Так вам и надо. Дух старой школы живёт только на x86! Браузер отъедается до 2ГБ и падает, без ущерба для системы.

Лучше бы дали ссылку на сайт с большим favicon в действии.
Кстати, есть ещё один похожий баг. При открытии Google Play или GoogleGroups на устройствах с 2 и менее гб памяти происходит лютый OOM

Хакер на баше

https://www.linux.org.ru/news/russia/11699823?cid=11702892

Журналу не хватает корректора, да и редактора тоже. Shaman007 ★★★★★ (16.06.2015 8:55:17)

И где тут уязвимость? Можно еще на сайте терабайтные файлы выкладывать, они перерполнят диск у скачавшего

Кроме краша браузера (у хромого одной вкладки)

У всех одной вкладки.

Любой популярный сайт сайт

Всю память может выжрать же. И всю систему затормозить.

В чем новизна?

уровень желтизны и тупняка в первом посте просто зашкаливает.

>>> Эксплойт

А че не «вирус»? Или «rootkit»?

IE молодцом.

Нет, не молодцом, это я пошутил.

Попробуй ноду на отдельной машине.

То есть в браузере есть какое-то внутреннее ограничение, которое выводит эту строчку, если изображение превышает какой-то размер?

Решеплорер, как всегда, в стороне от тусовки... Q___Q

не проверяют размер файла, что позволяет злоумышленнику забить всю доступную память

И? С таким же успехом можно что угодно отдавать, не?

Заходит однажды тестировщик в бар. Забегает в бар. Пролезает в бар. Танцуя, проникает в бар. Крадется в бар. Врывается в бар. Прыгает в бар

и заказывает:

кружку пива, 2 кружки пива, 0 кружек пива, 999999999 кружек пива, ящерицу в стакане, –1 кружку пива, qwertyuip кружек пива.

Я как-то сгенерировал html на 200Mb - таблица на 100 000 строк и 50 столбцов. Ни один браузер не смог открыть - выжрали всю оперативку и падали. Это тоже уязвимость?

А что, все правильно! От слова «тёрка» же! :D

Большое заглавие

Скачать иконку, бесплатно, без смс!

забавно

И если я ношу бумажный мешок на голове, это не значит, что я анонимус
anonymous (16.06.2015 22:39:31)

можно тожесамое сделать джавоскриптом из 1кб страницы,и будет также падать либо зависать,либо бесонечно выжирать память,и это не баг-это «вебтехнологии»"-велкам ту реалволд с худшими программами в истории

защитникам хромого-худшего браузера в мире,он выжирает всю память и да там нет процесса на вкладку,останавливается только убийством основного процесса

забыли только сказать что facicon мжно через джаваскрипт вставить локально-такчто да круто

2ГБ и

запускает новый процесс,потом еще один,и еще один,да браузеры так делают

Тогда пусть страдают.
Иконка должна содержать в себе уменьшенные варианты начиная с 16×16.
640КБ хватит чтобы загрузить даже не самые мелкие.
А кому надо пару мегабайт иконки — пусть зондируют свой анус макбуком с сафари.

Ненужно.

мдя. как всегда, жесть обнаружилась в самом девнючем коде, который остался ещё со времён мамонтов. никто не шерстит говнокод, написанный на заре развития интернетов, а потом вот такие перлы вылезают.

никто не шерстит говнокод

Надо заметить, что говнокод то на цепепе :-)

и что? говнокод можно писать на чём угодно. к цепепе это не имеет отношения. проблема обычно в ДНК.

говнокод можно писать на чём угодно. к цепепе это не имеет отношения.

Да, но на цепепе написать говнокод проще простого. Все возможности для этого в полном распоряжении, что демонстрируется сабжем :-)

проблема обычно в ДНК.

Верно, и поэтому проблемные товарищи выбирают цепепе :-)

Считаю излишним использовать своп.

а без свопа будет ещё больше тормозить, ибо там, где при наличии свопа из памяти выгружаются ненужные данные, при его отсутствии данные выгружать некуда, поэтому выгружается код загруженных приложений и читается вместо этого с диска. И до того, как таки проснётся OOM-Killer, тормозит вообще всё.

Иконка должна содержать в себе уменьшенные варианты начиная с 16×16.

Не должна

В фортунки

DoS тебе о чем-нибудь говорит? Прекрасное явление. Kernel panic!

Я прошла через 640 кб RAM. И я желаю каждому программисту пройти через это. Специалист должен определяться делом, а не словом. И если я ношу бумажный мешок на голове, это не значит, что я анонимус или шифропанк.

Каким вы видите favicon.ico?

Вы знаете, я не падаю с небес. Я недавно был на DevConf'е, там существует несуществующая группа разработчиков пятое управление свидетелей Presto в IE, или dualboot в X-Box. Такой группы разработчиков нигде нет. Webkit и Trident это разные движки, Galeon и Epiphany тоже, всё к браузерам относится. Поэтому я вообще сомневаюсь что багфиксы будут, потому что это покушение на «базар» или дерево git. Есть даже первое управление свидетелей Presto в IE. Насколько мне известно у нас есть OOM-киллер и только spellchecker, а настройки у нас называются options, но не группа разработчиков свидетелей Presto в IE. И программа «IE используют только в бухгалтерии для банк-клиента» может и есть, у нас такого нет. Это L.o.r., а не Хабра.

не знаю, от чего у людей цепепефобия развивается. наверное, это из детства какие-то плохие воспоминания. а может, им пугали, чтобы дети не писали напрямую в память. но в целом боязнь программирования без песочницы - это что-то детское, вроде боязни темноты.
я видела много крупных проектов, которые написаны на цепепе и прекрасно работают без сбоев в круглосуточном режиме. я же говорю, проблема не в цепепе, а в тех, кто его использует.

А у кого не должна — нечего удивляться что она в некоторых бровзерах не работает

ИЕ ничему не подвержон, можно сказать что такого браузера не существует.

В винде в IE самые нормальные шрифты, которые используют системное сглаживание, в Firefox намного хуже, а в Chromium-based тонкое светлое говно.

Internet Explorer не подвержен уязвимости, потому что им никто не пользуется.

fixed

если он перед загрузкой не пытается лочить память - то напугали ежа голой жопой, даже гиг мозгов будет забиваться довольно долго. Если лочит - то другое дело, можно даже не качать

А в чем «уязвимость-то»? Любая программа может забить всю память, на то она и программа. А вдруг дизайнер хочет иконку 33mx33m, а у человека всего 2гб памяти — это уязвимость? А если у человека 100 мб и ни один сайт запустить не удается — это уязвимость?

блин, холокост только. запилите плз кто-нибудь на внешку, хочу потыкать браузеры ведроида на предмет шняги (ноду на моб ставить тупо, а на комп времени нет). 64 метра хватит, мобильник старый