LINUX.ORG.RU

Межсайтовый скриптинг в Mozilla browser


0

0
Удаленный пользователь может сконструировать HTML документ, содержащий специально обработанную ссылку, который, когда будет загружен в браузере целевого пользователя, выполнит javascript код в контексте новой страницы.

http://securitytracker.com/alerts/200... http://bugzilla.mozilla.org/show_bug.... http://www.securitylab.ru/43121.html

>>> Подробности



Проверено: maxcom
Удаленный пользователь может сконструировать HTML документ, содержащий специально обработанный javascript-код, который, когда будет загружен в браузере целевого пользователя, выполнит javascript код в контексте этой страницы.

Очень страшный баг - называется "поддержка javascript"

%))))
anonymous
()
Ответ на: комментарий от birdie
Далеко не все пользователи обновляют мозиллу с каждым релизом, некторых вполне устаривают 1.2 и 1.3. А некоторые пользуют netscape.

Похоже с мозиллой будет как с линуксом -- пока линуксом никто не пользовался, дырок было меньше чем в оффтопике, а сейчас линукс стал дырявее виндов. Так и мозилла скоро по дырам догонит ишака и перегонит.

anonymous
()
Ответ на: комментарий от anonymous
Ни какого вреда от этого бага нет. Под рутом все равно никто не сидит (кроме ламо), а в винде все ставят себя в группу администраторы.
Orlangoor ★★★★★
()
Ответ на: комментарий от Orlangoor
>> Ни какого вреда от этого бага нет. Под рутом все равно никто не сидит (кроме ламо), а в винде все ставят себя в группу администраторы.

А при чем здесь рут или не рут. Доступа у скрипта не должно быть все равно к локальным данным.

Ошибка по принципу "нашли за что зацепиться".

anonymous
()
Ответ на: комментарий от Orlangoor
> Ни какого вреда от этого бага нет

Рут/не рут в данном случае не важно. Используя cross-scripting можно утащить cookie другого сайта, например с сохраненным паролем.

В случае linux.org.ru это неприятно, но не более того. А если стянут cookie, скажем, от интернет магазина можно хорошо попасть.

maxcom ★★★★★
()
Ответ на: комментарий от maxcom
Обидно - все же Потрахались с IE на эту тему - так mozilla туда же :(
anonymous
()
Ответ на: комментарий от maxcom
вот потому-то куки зло, и их следует давить
anonymous
()
Ответ на: комментарий от anonymous
Анализ хакерских атак на онлайновые службы, выполненный в январе британской консалтинговой фирмой mi2g, показал, что чаще всего от них страдают Linux-серверы, на долю которых пришлись 13 654 успешные атаки, или 80% от всех выявленных атак. Windows с большим отрывом заняла второе место с 2005 успешными атаками.
anonymous
()
Ответ на: комментарий от anonymous
>> а сейчас линукс стал дырявее виндов

Постоянно слежу за багтраком, секфокусом и секлабом. Конечно это не отражает полную картину дырявости ПО, но некоторое представление дает ;) И, имхо, сейчас windows дырявее :) Конечно и в линухе дырки стали находить чаще, как я понимаю, это обратная сторона растущей популярности, но винда ... семь (может уже шесть или пять уже) дырок которые до сих пор не залатаны, но уже найдены, много говорит о подходе МС к защищенности.

bizanine
()
Ответ на: комментарий от anonymous
>Анализ хакерских атак на онлайновые службы, выполненный в январе >британской консалтинговой фирмой mi2g, показал, что чаще всего от них >страдают Linux-серверы, на долю которых пришлись 13 654 успешные >атаки, или 80% от всех выявленных атак. Windows с большим отрывом >заняла второе место с 2005 успешными атаками. а что тут удивительного если серваков на лялихе в 10 раз больше чем на виндах? умножте 2005 на 10 :)
anonymous
()
Ответ на: комментарий от anonymous
>> Анализ хакерских атак на онлайновые службы, выполненный в январе британской консалтинговой фирмой mi2g, показал, что чаще всего от них страдают Linux-серверы, на долю которых пришлись 13 654 успешные атаки, или 80% от всех выявленных атак. Windows с большим отрывом заняла второе место с 2005 успешными атаками.

Давайте проведем подсчет взломанных Windows-десктопов и Linux-десктопов за последний год. Затем полученные числа сложем и посчитаем аналогичные проценты. Представьте себе какие получатся цифры ;) Ваше исследования - та же фигня только сбоку.

bizanine
()
Ответ на: комментарий от anonymous
Там же и оговорка есть, что считались только взломы "в ручную", я то что сотни тысяч выньдозных тачек были заражены червями "на автомате" - это в расчет не приняли...
anonymous
()
Ответ на: комментарий от anonymous
"Согласно отчету, наиболее безопасными ОС оказались BSD (Berkley Software Distribution) и Mac OS X. mi2g подчеркивает, что ее исследование сосредоточено на «явных цифровых атаках» и не принимает во внимание другие методы проникновения в систему, например, с помощью компьютерных вирусов и червей."

Зае##тое "исследование" Ж) Это, типа, как посчитать сколько человек обратилось в травмпункт подскальзнувшись на арбузной корке и не учитывать пи#данувшихся зимой в гололед :))

Интересно сколько серверов под Mac OS X и где они стоят... Самая безопасная операционка это СР/М ее ваще удаленно взломать нельзя !

anonymous
()
Ответ на: комментарий от bizanine
исходя из этой концепции вынь3.11 намного надежней БСД и ихней макоси поскольку я что-то не слышал что-бы сервера под ним в последнее время ломали...
ЗЫ а где поправка на распространенность в критических задачах?
nuHrBuH
()
Достали нах.

Linux vs *BSD vs Windows

"Рынок Unix-серверов в целом сократился на 4% до 16,7 млрд долл., зато рынок Linux-серверов вырос на 90%"

Как сообщила в среду аналитическая фирма Gartner

Темп роста 90%, где вы столько квалифицированных админов найдете?

Вот и ломают их как погремушки.
Sun-ch
()
Ответ на: комментарий от anonymous
2anonymous (*) (27.02.2004 12:28:42)
>а сейчас линукс стал дырявее виндов.
Конечно, дырявее, сам M$ акамаем с Linux закрыт %-)
>Так и мозилла скоро по дырам догонит ишака и перегонит.
Мечты? :-)
anonymous
()
Ответ на: комментарий от maxcom
> В случае linux.org.ru это неприятно, но не более того. А если стянут cookie, скажем, от интернет магазина можно хорошо попасть.

Неправда. Если стянуть cookie гражданина R00T, то можно здорово попасть. Кабан еще тот.

anonymous
()
Ответ на: комментарий от anonymous
> Неправда. Если стянуть cookie гражданина R00T, то можно
> здорово попасть. Кабан еще тот.

пропал гражданин рут. после треда про ядро 2.4.25.

"не вынесла душа поэта
позора мелочных обид"

Кажись, Лермонтов
anonymous
()
Ответ на: комментарий от anonymous
>Анализ хакерских атак на онлайновые службы, выполненный в январе >британской консалтинговой фирмой mi2g, показал, что чаще всего от них >страдают Linux-серверы, на долю которых пришлись 13 654 успешные >атаки, или 80% от всех выявленных атак. Windows с большим отрывом >заняла второе место с 2005 успешными атаками. а что тут удивительного если серваков на лялихе в 10 раз больше чем на виндах? умножте 2005 на 10 :)

:) А ты с Бздей сравни тогда...;)

anonymous
()
Ответ на: комментарий от Irsi
2 Irsi (*) (27.02.2004 15:36:39):

>Много где, в Пентагоне например имеются... XServe рулит, правда недешев... На, попускай слюни - http://www.apple.com/xserve/ :)

Пусть пентагон поставит эти сервера в интернет на толстый канал - тогда посмотрим как будет рулить макОСх :_)

anonymous
()
Ответ на: комментарий от Irsi
> Нормально будет рулить...:) А какие сомнения тебя грызут? По пунктам, конкретно...:)

А адресок можно?

anonymous
()
Ответ на: комментарий от anonymous
Это совсем не отражает текушее состояние дел . На самом деле взломанных виднов во много раз больше . Почти весь спам сейчас идет через взломанные винды , заражение винды трояном - это тоже взлом. И все это МИЛЛИОНЫ машин!!!
anonymous
()
Ответ на: комментарий от anonymous
мальчик, ты эти "миллионы" откуда взял? из теле-ящика или из газеты "Жизнь", или прямо с потолка?

или у тебя было на трех машинах две винды и один линукс, и тебя через каждую из них поимели по три раза?

anonymous
()
Ответ на: комментарий от Orlangoor
>а в винде все ставят себя в группу администраторы.

не все, а тоже только ламо

Reset ★★★★★
()
Ответ на: комментарий от anonymous
каалось бы, при чем здесь слака?

----

мне кажется при том, что слака самая надженая простая и удобная ОС

anonymous
()
Ответ на: комментарий от anonymous
> результаты серьезного исследования
You said mi2g is seriously researching something. huh?8)
It's proven M$-sponsored company so the bias is very well understandable.;)
anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.