Критическая уязвимость в Firefox 2.0

И каждый из этих паролей для входа в банк, ФСБ, налоговую и т.п.? И там тебя ждут с перехватом для раскрытия твоего пароля?

> И каждый из этих паролей для входа в банк, ФСБ, налоговую и т.п.? И там тебя ждут с перехватом для раскрытия твоего пароля?

Нет, не каждый. Но это НИЧЕГО не означает. Я не хочу гадать, какой именно пароль у меня стырит какая-нибудь мразь.

Точно так же, кстати, защищают свою дырявую ось вантузятнеги от нападок правоверных линуксоидов, не заметил. "Ну, дырка. Но не смертельно же, да?".

Кто тут про FAR и Bat спрашивал ?
Отвечаю :)
FAR является чуть ли единственным ftp-клиентом, не умеющим ходить по symlink'ам, т.к. он сдуру пытается их переименовывать. В результате например использование virtual chroot в Pure-FTPd для любителей FAR'а не работает.
Про theBat! я пожалуй скромно промолчу :) Хотя нет, скажу одно слово: unicode :) Слово есть, а theBat его не знает :)

Брррр
s/переименовывать/разыменовывать/

Не в этом дело. У меня тоже этих паролей штук 30-40. Я ни одного из них не помню. Скажи пожалуйста, какой из твоих 20 паролей настолько ценен, что ты его запоминаешь в браузере и не боишься, что кто-то стырит его у тебя прямо с компа (украдут или пороются в твое отсутствие)?

И еще. Читал о сравнении IE7 и ФФ 2.0 по фишингу? ИЕ пропускает подобных сайтов гораздо больше, чем ФФ. Так что заманят родимого и выудят все что нужно без всякого запоминания паролей в браузере. А вот это гораздо страшнее, чем сабж.

> > вероятнее всего, они ее либо вообще отключат

> Сойдёт лишь как временная мера.

я имел в виду "сквозную" аутентификацию. именно так сделано в конке (в смысле ее там нет).

> > либо заполнение поля пароля будет только после ввода логина (поле логина заполняться не будет)

> Идеальный вариант. Именно так сделано в IE. Но чупачупсы решили выипнуться. Ну, выипнулись, пилять. Чё теперь?

не совсем идеальный. потому что:

а) генеренные странички (пхп, перл, асп и т.д.) могут (по кукам) "узнать" юзверя и для "удобности" сами вписать логин в поле. и как в таком случае поступать браузеру? игнорить и требовать ручного вбития логина, или, опять же, каким-нить диалогом переспросить?

б) это не отменяет проблему с подменой экшена формы. именно это и показано на демо-страничке. ну, может там и не показана именно _подмена_, но пароль все же перенаправлялся на абсолютно левый домен. хотя если и в границах одного домена есть проблема со сквозной авторизацией: есть же сайты вида www.example.com/~username/index.php, где username -- ... ну вы поняли ;)

> Чайникам пох. Они всё равно жмут OK, не читая. Потому что этих warning'ов и так куча.

ну это уже их личная половая проблема, а мозилла снимет с себя ответственность за получение пароля третьими лицами: "предупреждали? -- предупреждали... -- кнопку нажимал? -- нажимал... -- сам дурак...". хотя опенсорс и так идет с отмазкой as is...

> Это не просто баг в движке, это недосмотр в идее хранения паролей во всех современных браузерах.

Это ДЫРА в кривых и дырявых браузерах типа IE и FF. В Opera проблемы нет.

> Это ДЫРА в кривых и дырявых браузерах типа IE и FF. В Opera проблемы нет.

не, ну до некоторых анонимусов не может дойти генетически... links тоже не имеет этой "дыры", и? прям щас кинешься юзать линкс?

ну правда, разруха она не в броузерах, она в .... (сами допишите)

Скорее последнее... :)

"Это ДЫРА в кривых и дырявых браузерах типа IE" IE6 XPSP2 не работает. Что я делал не так? Ах, да, наверно не читал man ff.

/*offtopeg

/*поставил сегодня снапшот 494 оперы 9.10 появилась некая фича Fraud Security, засубмитил лор как трастед :)

вся беда в том что файрфокс не успевает сама за собой - мало того что вся функциональность развивается левыми товарищами в виде расширений, дык еще и движок не успевают латать... самый браузерный браузер говорите?

кстати не забыли еще о недавнем? http://www.linux.org.ru/jump-message.jsp?msgid=1595020 1 месяц и 20 дней всего...

>правильно, лучше использовать один-два простеньких пароля на всех десятках сайтов требующих регистрации

А ещё лучше один-два сложных и ещё пару простых для форумов вроде LOR ;)

> кстати не забыли еще о недавнем? http://www.linux.org.ru/jump-message.jsp?msgid=1595020 1 месяц и 20 дней всего...

низачот. http://www.linux.org.ru//jump-message.jsp?msgid=1598089 1 месяц и 18 дней всего... :))

> Кто тут про FAR и Bat спрашивал ? > Отвечаю :) > FAR является чуть ли единственным ftp-клиентом, не умеющим ходить по symlink'ам,

Друк! FAR - File and Archive Manager. FTP к нему - всего лишь плаг. Не думаеццо ли тебе, что ругаццо по этой теме надо немного не в сторону основной программы, но в сторону плаго-писателей?

P.S.: сори за офтоп, не удержалсо ;)

комрады, помогите понять читал описание бага. как я понял, если на одной странице есть две формы с одинаковыми input name то они заполняются одинаково? а как можно украсть пароль? или нету проверки на page?

> Я думаю, тут лучше сделать так, чтобы из javascript нельзя было менять ACTION, если в FORM есть TYPE=PASSWORD. А запоминать комбинацию domain/name/action.

Это ничего не изменит. Важен факт ввода пароля менеджером паролей. С таким же успехом можно в onLoad для фрейма (или просто проверять периодически) запихать функцию, хватающую введенный пароль и отправляющего его на левый адрес.

Подмена submit - тривиальнейшая реализация этой атаки.

> сообщение об уязвимости было опубликовано Netcraftом 27 октября, сейчас уже 24 ноября - почти месяц прошел - патча нет, на лоре вешается новость :)))

Не понял. Ты имеешь ввиду, что новость - баян, или новость - пипец? :)

Нет проверки на соответствие URL-a action в форме сайту, на котором эта форма размещена. Т.е. если есть возможность разместить на стороннем сайте свой HTML код, то есть и возможность украсть сохраненные браузером логины/пароли от этого сайта тех, кто эту форму увидит.

я в техподдержке одного из провайдеров работаю, странно но, почему народ звонит с проблемами с ИЕ и Оперой, ни разу небыло звонков по поводу ФФ.

> я в техподдержке одного из провайдеров работаю, странно но, почему народ звонит с проблемами с ИЕ и Оперой, ни разу небыло звонков по поводу ФФ.

Может, им признаваться стыдно? :)

А статистика по браузерам вообще есть?

>> FAR является чуть ли единственным ftp-клиентом, не умеющим ходить по symlink'ам,

>ругаццо по этой теме надо немного не в сторону основной программы, но в сторону плаго-писателей?

Странно, у меня ходит :) "Что я делаю неправильно?"

> генеренные странички (пхп, перл, асп и т.д.) могут (по кукам) "узнать" юзверя и для "удобности" сами вписать логин в поле.

Уважаемый, поделитесь пожалуйста секретом, а как браузер узнает - статическую страничку он открывает или динамически сгенеренную? После ответа можете смело подавать на Нобелевскую премию.

>хранить пароли в браузере - моветон

Правильно, дорогой! Надо хранить их на стикере не мониторе =)

>На все сайты один пароль?

А у тебя разные? ;)

> Скорее последнее... :)

Ну, значит вам везёт. Хотя стоит проверить всё-таки сколько разных паролей удерживается в голове...

> А у тебя разные? ;)

Как правило - да. Раньше ставил один. Но потом один из сайтов взломали и утащили базу. Парорль там, конечно, в виде md5 хеша, но, для меня - всё равно скомпрометирован. После чехарды со сменой всех паролей по всем сайтам - изменил политику паролирования... :)

> Друк! FAR - File and Archive Manager. FTP к нему - всего лишь плаг. Не думаеццо ли тебе, что ругаццо по этой теме надо немного не в сторону основной программы, но в сторону плаго-писателей?

Ну дело в том, что FTP - один из СТАНДАРТНЫХ плагинов, который сам Рошаль, если я не ошибаюсь и писал. То же относится и к сетевому и архивному плагину: выкиньте их, и что от фара останется?

> P.S.: сори за офтоп, не удержалсо ;)

АналогЫчно ;) По теме - сам в своё время переполз с Оперы на тогда ещё Мозиллу. Переполз с большим сожалением, т.к. эргономика у Оперы сильно выше, но возможность ходить из Мозиллы на сайты, нашпигованные яваскриптом, оказалась более серьёзным аргументом, чем эта эргономичность. Хотя веб-мастерам таких сайтов и следовало бы кое-что оторвать...

>Критическая уязвимость в Firefox 2.0

Пусть сдохнет.

> Уважаемый, поделитесь пожалуйста секретом, а как браузер узнает - статическую страничку он открывает или динамически сгенеренную? После ответа можете смело подавать на Нобелевскую премию.

во-первых, при чем тут этот вопрос?

во-вторых, отвечаю: в 99% случаев отсутствует поле Content-Length, и, как правило, присутствуют поля "Cache-Control: no-cache" и/или "Pragma: no-cache" в заголовке ответа и/или q~<HTTP-EQUIV="PRAGMA" CONTENT="NO-CACHE">~ в теле документа. кроме того, наличие в урле запросной строки ("?" с последующими параметрами) или $url =~ m/\.(php|pl6?|cgi|x?asp)$/i.

если вы виндузятник, никогда не слышавший об RFC и верящий, что интернет придумали в негрософте, попрошу удалиться на винфак, и не дергать гражданина Нобеля по мелочам...

OSS поделки как всегда в луже?

Ни один из этих способов не дает 100% гарантии что страничка динамическая

"?" ты можешь вообще к любой страничке пририсовать - к статической в том числе

Проверять расширение - это вообще глупость
Да еще case insensitive - а если сервак под UNIX - то нужно ведь проверять с учетом регистра - не так ли ?

Ты еще не предложил проверять путь запроса - если там есть /cgi-bin - это динамическая страница.

Еще не предложил проверять Expires - на статике вроде как бы незачем выставлять.

Единственно что может быть - если запрос POST - то можно считать что страничка динамическая - хотя нет - нельзя - можно и статику дернуть POST-ом.

И насчет Content-Length тоже не все однозначно - кривые серверы могут не рисовать тебе длину.
А сильно правильные серверы могут тебе и на динамической странице нарисовать длину, просто обычно этого не делают из-за performance видимо.

А еще бывает работа через proxy-сервер.

Вообщем вопрос этот темный ...

> Ни один из этих способов не дает 100% гарантии что страничка динамическая

как сказал кто-то из классиков, "на 100% можно быть уверенным только в своей смерти".

> "?" ты можешь вообще к любой страничке пририсовать - к статической в том числе

можно, но от этого Content-Length не исчесзнет.

> Проверять расширение - это вообще глупость Да еще case insensitive - а если сервак под UNIX - то нужно ведь проверять с учетом регистра - не так ли ?

так, и я об это не забыл, что подтверждается наличием "i" в конце регекспа (m/.../i). man perlre

> Ты еще не предложил проверять путь запроса - если там есть /cgi-bin - это динамическая страница.

да, забыл. спасибо, что напомнил...

> Еще не предложил проверять Expires - на статике вроде как бы незачем выставлять.

The expiration mechanism applies only to responses taken from a cache. [RFC 2616, page 79].

> Единственно что может быть - если запрос POST - то можно считать что страничка динамическая - хотя нет - нельзя - можно и статику дернуть POST-ом.

405 Method Not Allowed. хотя кривой серв может и прохавать.

> И насчет Content-Length тоже не все однозначно - кривые серверы могут не рисовать тебе длину.

не видел таких. даже мой собственный серв передавал длинну и обрабатывал If-Modified-Since для статики. хотя все может быть, мир не без извращенцев...

> А сильно правильные серверы могут тебе и на динамической странице нарисовать длину, просто обычно этого не делают из-за performance видимо.

они в принцыпе не могут этого сделать, т.к. бравзер получает заголовок и начинает рендерить документ еще до того, как скрипт закончил формировать ответ.

> А еще бывает работа через proxy-сервер.

а еще бывает без прокси сервера. и что это меняет?

> Вообщем вопрос этот темный ...

более того -- он сдесь абсолютно не уместен. вот обясните мне тупому, зачем задали вопрос о разлечении статики/динамики, если речь шла о том, что делать бравзеру при получении странички с формой логина/пароля с непустым value поля логина??? или просто спросить хотели ради интереса? или тест на познание в хттп-протоколе?

>хранить пароли в браузере - моветон

А у тебя что, один пароль на все сотни сервисов?

>FAR является чуть ли единственным ftp-клиентом, не умеющим ходить по symlink'ам

А как я по ним тогда ходил??

>> Проверять расширение - это вообще глупость Да еще case insensitive - а если сервак под UNIX - то нужно ведь проверять с учетом регистра - не так ли ?

>так, и я об это не забыл, что подтверждается наличием "i" в конце регекспа (m/.../i). man perlre

еще раз прочитай начало

для UNIX как нет m/.../i смысла не имеет !