Опера не спешит закрывать уязвимость - Форум успешных вебмастеров - GoFuckBiz.com

RedHead · 27.10.2012, 01:27

http://habrahabr.ru/post/156315/
http://rutracker.org/forum/viewtopic.php?t=4228361

Цитата:

Если в коде открываемой странице злоумышленник может разместить тэг вида:
<img src="http://evil.com/evil.png">
(где evil.com подконтрольный ему сервер)
и отдать при запросе http://evil.com/evil.png следующие заголовок:

Refresh: 0; url=data:application/internet-shortcut,[INTERNETSHORTCUT]%0D%0AURL=http://evil.com/

то браузер Опера не спросив и не предупредив пользователя, совершит переход по этому адресу.

А уже там может быть что угодно, начиная от формы ввода логина и пароля в оформлении атакуемого ресурса. В случае с моими сайтами — требовали ввести свой номер телефона (так и не понял, зачем им это было нужно).

Подвержены все сайты, которые позволяют пользователям вставлять свои картинки через УРЛ, а это возможно практически везде, начиная с форумов на phpbb, ЖЖ, Хабрахабра (!) и заканчивая письмами в mail.ru (где картинки в письме загружаются по умолчанию).

Че молчим?

bess · 27.10.2012, 18:21

Цитата:

Сообщение от Popobawa

Хром апдейты сам качает когда захочет, я один раз посмотрел сколько он весит и удалил нах.

правильно сделал, лучше на это свободное место порнухи накачай.

alkoustas · 27.10.2012, 18:25

bess

imgreen · 27.10.2012, 18:41

Цитата:

Сообщение от bess

опера на втором месте после хрома по рунету если что.

не работаю с рунетом

xealey · 27.10.2012, 19:09

А правило в фаерволл добавить религия не позволяет? У меня качает,когда разрешаю только)

~~satih~~ · 03.11.2012, 04:12

фф тоже может апдейты качать когда хочет и сам в бекграунде устанавливать, снять галку в настройках и перестанет. думаю тоже самое у хрома есть, имхо не аргумент.