Полезная информация

Список ответов на каверзные вопросы можно получить в FAQ-разделе форума.
  • Форумы
  •  » Флейм
  •  » Firefox vs Opera IV: тотальное сравнение браузеров

№50114-12-2006 01:31:09

krigstask
друг народа
 
Группа: Members
Откуда: Rampova, Inkerimaa
Зарегистрирован: 13-09-2005
Сообщений: 4593
Веб-сайт

Re: Firefox vs Opera IV: тотальное сравнение браузеров

Punk_UnDead
Чего?

dvdianov

Не делать таких табличек. Делать все в пределах разумного

Варианты, варианты. Ваше предложение — просто наплевать?


Ядрёная консоль делает меня сильней!

Отсутствует

 

№50214-12-2006 04:13:55

Vednier
Участник
 
Группа: Members
Откуда: В ауте
Зарегистрирован: 23-11-2006
Сообщений: 1430

Re: Firefox vs Opera IV: тотальное сравнение браузеров

ЗЫ кстати а чем можно отмониторить процесс отправки запроса, а конкретно файла постом

можно отследить http-сниффером.
Проще всего - HTTPLook-ом, однако он склонен вызывать зависания Фокса.


Свобода только тут - mozilla@conference.jabber.ru

Отсутствует

 

№50314-12-2006 09:57:52

Punk_UnDead
Участник
 
Группа: Members
Откуда: Макеевка(Украина)
Зарегистрирован: 29-05-2006
Сообщений: 613
Веб-сайт

Re: Firefox vs Opera IV: тотальное сравнение браузеров

krigstask
я серьёзно, с таким подходом при каждом хапросе надо спрашивать у пользователя, что по такому то адресу отправлен запрос, потому как отправка запроса тоже передача информации


это не просто аватара - это древний символ изгнания зла

Отсутствует

 

№50414-12-2006 11:20:55

krigstask
друг народа
 
Группа: Members
Откуда: Rampova, Inkerimaa
Зарегистрирован: 13-09-2005
Сообщений: 4593
Веб-сайт

Re: Firefox vs Opera IV: тотальное сравнение браузеров

Punk_UnDead
Не личной информации.
И не надо всё приводить к абсурду


Ядрёная консоль делает меня сильней!

Отсутствует

 

№50515-12-2006 00:06:14

Punk_UnDead
Участник
 
Группа: Members
Откуда: Макеевка(Украина)
Зарегистрирован: 29-05-2006
Сообщений: 613
Веб-сайт

Re: Firefox vs Opera IV: тотальное сравнение браузеров

krigstask
если разобраться, то любая информация - личная
сам факт(например) пересылки денег есть повод для внимания налоговой(отвлечённый пример)
твоя личная переписка в рамках форума конечно доступна людям имеющим доступ к серверу, но представь если б твои письма мог перечитывать кто то из администрации, только потому что в форум встроена подобная функция, браузер тут не при чём
ЗЫ возможность внедрения жабаскрипта открывает ещё большие возможности для мошенничества,
пресловутый аякс отправит ваши данные куда угодно, и вы никогда не узнаете, то ли и туда ли было отправлено
повторяю, "автозаполнение форм следует считать вредным" - вот тезис для обсуждения, браузеры здесь не при чём


это не просто аватара - это древний символ изгнания зла

Отсутствует

 

№50615-12-2006 00:08:33

krigstask
друг народа
 
Группа: Members
Откуда: Rampova, Inkerimaa
Зарегистрирован: 13-09-2005
Сообщений: 4593
Веб-сайт

Re: Firefox vs Opera IV: тотальное сравнение браузеров

Punk_UnDead
Так я не понял. То есть все тут уверены, что это и исправлять не надо? (Ну, кроме одного из полностью здравомыслящих здесь Yan'a)

Браузер может отослать пароль чёрт знает куда при нажатии, к примеру, на картинку, это вроде как хорошо?

Отредактировано krigstask (15-12-2006 00:10:34)


Ядрёная консоль делает меня сильней!

Отсутствует

 

№50715-12-2006 00:08:39

INFOMAN
Телепаты в отпуске
 
Группа: Extensions
Откуда: Кишинев
Зарегистрирован: 31-12-2005
Сообщений: 1099
Веб-сайт

Re: Firefox vs Opera IV: тотальное сравнение браузеров

пресловутый аякс отправит ваши данные куда угодно

XMLHttpRequest не имеет права отправлять данные куда угодно. Только в текущем домене.

Хотя JsHttpRequest это ограничение обходит...:(


Закрой кран
Включи свет ©
Fire! Kill IE is your desire | NULL | NULL

Отсутствует

 

№50815-12-2006 00:51:41

RED
Модеpатор
 
Группа: Moderators
Откуда: Ульяновск
Зарегистрирован: 08-10-2004
Сообщений: 6085
Веб-сайт

Re: Firefox vs Opera IV: тотальное сравнение браузеров

мужики, честно говоря, я уже не поспеваю за ходом мысли :)
напишите конкретно: в чем опасность дыры с паролем?
вот я, типа, скачал Firefox. я - чайник. могу я потерять пароль? если "да", то при каких условиях?
я спрашиваю к тому, что одно дело описывать проблему абстрактными словами, а другое - просто и понятно объяснить ее суть.

да, и в 2.0.0.1, что должна на днях выйти, это закроют?

Отсутствует

 

№50915-12-2006 01:16:41

Punk_UnDead
Участник
 
Группа: Members
Откуда: Макеевка(Украина)
Зарегистрирован: 29-05-2006
Сообщений: 613
Веб-сайт

Re: Firefox vs Opera IV: тотальное сравнение браузеров

INFOMAN
хм, а создать скрытый фрейм и задать ему локайшн? передав данные в адресной строке
да мало ли можно придумать способов, если только получить возможность внедрять жабаскрипт
RED
внедряется форма, которая заполняется автоматом, которая отправляется по скрипту(или не по скрипту)
отправляется куда угодно, и пользователь не в курсе об этом

Отредактировано Punk_UnDead (15-12-2006 01:24:52)


это не просто аватара - это древний символ изгнания зла

Отсутствует

 

№51015-12-2006 01:48:02

ego
Участник
 
Группа: Members
Откуда: Москва
Зарегистрирован: 23-06-2006
Сообщений: 1538

Re: Firefox vs Opera IV: тотальное сравнение браузеров

RED пишет

мужики, честно говоря, я уже не поспеваю за ходом мысли :)
напишите конкретно: в чем опасность дыры с паролем?
вот я, типа, скачал Firefox. я - чайник. могу я потерять пароль? если "да", то при каких условиях?
я спрашиваю к тому, что одно дело описывать проблему абстрактными словами, а другое - просто и понятно объяснить ее суть.

да, и в 2.0.0.1, что должна на днях выйти, это закроют?

Условия следующие:
1) Есть сайт (например, хостинг для блогов), который позволяет пользователям создавать формы с типом password (дыра в безопасности сайта)
2) У пользователя есть эккаунт на этом сайте
3) Злоумышленник создает страничку с внедренной формой (возможно, замаскированной/скрытой)
4) Пользователь должен зайти на страничку злоумышленника - и его пароль к сайту попадает в руки злоумышленника

Совпадение пп. 1, 2 и 4 не так уж просто обеспечить. Видимо, поэтому в 2.0.0.1 она закрыта не будет, только в 2.0.0.2.

Отсутствует

 

№51115-12-2006 10:58:13

krigstask
друг народа
 
Группа: Members
Откуда: Rampova, Inkerimaa
Зарегистрирован: 13-09-2005
Сообщений: 4593
Веб-сайт

Re: Firefox vs Opera IV: тотальное сравнение браузеров

ego

Совпадение пп. 1, 2 и 4 не так уж просто обеспечить

Есть реальный случай, поэтому это всё умопостроения


Ядрёная консоль делает меня сильней!

Отсутствует

 

№51215-12-2006 11:02:32

Пит Бэнкман
Участник
 
Группа: Members
Зарегистрирован: 31-07-2006
Сообщений: 910

Re: Firefox vs Opera IV: тотальное сравнение браузеров

Есть реальный случай, поэтому это всё умопостроения

Этот случай мог быть счастливой случайностью для того, кто им воспользовался :) Особенно с учетом того, что это единственный известный случай юзания данного бага.

Отсутствует

 

№51315-12-2006 11:29:51

ego
Участник
 
Группа: Members
Откуда: Москва
Зарегистрирован: 23-06-2006
Сообщений: 1538

Re: Firefox vs Opera IV: тотальное сравнение браузеров

krigstask пишет

ego

Совпадение пп. 1, 2 и 4 не так уж просто обеспечить

Есть реальный случай, поэтому это всё умопостроения

Баг надо закрывать, с этим я не спорю, но этот единственный реальный случай (на myspace) был.

Отсутствует

 

№51415-12-2006 13:12:33

Пит Бэнкман
Участник
 
Группа: Members
Зарегистрирован: 31-07-2006
Сообщений: 910

Re: Firefox vs Opera IV: тотальное сравнение браузеров

Кстати, а этот случай принес какой-нить сильный урон пользователю?

Отредактировано Пит Бэнкман (15-12-2006 13:13:18)

Отсутствует

 

№51515-12-2006 15:04:11

stoneflash
Хитрый Лис
 
Группа: Extensions
Откуда: Msk
Зарегистрирован: 02-04-2006
Сообщений: 4341

Re: Firefox vs Opera IV: тотальное сравнение браузеров

Пит Бэнкман

Кстати, а этот случай принес какой-нить сильный урон пользователю?

Скорее всего украли учётки на myspace.


«I actually hate programming, but I love solving problems» © Rasmus Lerdorf, PHP's Creator

Отсутствует

 

№51615-12-2006 15:57:22

RED
Модеpатор
 
Группа: Moderators
Откуда: Ульяновск
Зарегистрирован: 08-10-2004
Сообщений: 6085
Веб-сайт

Re: Firefox vs Opera IV: тотальное сравнение браузеров

а с Opera были ли какие-нибудь подобные случаи? (любые)

:lol: вспомнилось - Почесал пол часа письмо сестре набирал, а потом Opera вылетела, у него нервный срыв. но это не считается.

Отсутствует

 

№51715-12-2006 17:42:46

Пит Бэнкман
Участник
 
Группа: Members
Зарегистрирован: 31-07-2006
Сообщений: 910

Re: Firefox vs Opera IV: тотальное сравнение браузеров

А какая разница? Типа пока петух в жопу не клюнет, можно не волноваться?

Петухи и попы тут не при чем. Есть такое понятие, как реальный ущерб. Если его нет или же он незначителен, то и опасность непринципиальна. Затыкать дыру нужно... но не нужно эту дыру увеличивать от размеров горлышка бутылки до футбольного поля.

Опера лучше Фокса. Симанки лучше Оперы.

Фокс лучше оперы... и симанки лучше оперы :) И опять начинается война симпатий/антипатий...

Отсутствует

 

№51815-12-2006 22:52:09

Punk_UnDead
Участник
 
Группа: Members
Откуда: Макеевка(Украина)
Зарегистрирован: 29-05-2006
Сообщений: 613
Веб-сайт

Re: Firefox vs Opera IV: тотальное сравнение браузеров

stoneflash

Скорее всего украли учётки на myspace.

не подлежит сомнению, что реально можно украсть только данные того портала, на который внедрена форма
что собственно и произошло
так что НЕ ПОЛЬЗУЙТЕСЬ MYSPASE там админы не заботятся о безопасности


это не просто аватара - это древний символ изгнания зла

Отсутствует

 

№51915-12-2006 23:10:13

stoneflash
Хитрый Лис
 
Группа: Extensions
Откуда: Msk
Зарегистрирован: 02-04-2006
Сообщений: 4341

Re: Firefox vs Opera IV: тотальное сравнение браузеров

Punk_UnDead

ак что НЕ ПОЛЬЗУЙТЕСЬ MYSPASE там админы не заботятся о безопасности

То же самое можно сделать и Народом, да почти с любым сервисом, предоставляющим хостинг.

И я всё-таки не понял, Опера себя как вела на той страничке, никто не в курсе?

Отредактировано stoneflash (15-12-2006 23:13:53)


«I actually hate programming, but I love solving problems» © Rasmus Lerdorf, PHP's Creator

Отсутствует

 

№52015-12-2006 23:21:24

Yan
Участник
 
Группа: Extensions
Откуда: Москва
Зарегистрирован: 27-02-2005
Сообщений: 1019

Re: Firefox vs Opera IV: тотальное сравнение браузеров

stoneflash

То же самое можно сделать и Народом, да почти с любым сервисом, предоставляющим хостинг.

Нельзя. narod.ru выдаёт отдельные домены третьего уровня. Это безопасно.

И я всё-таки не понял, Опера себя как вела на той страничке, никто не в курсе?

В Опере ситуация с багом аналогичная, но там для подстановки пароля от пользователя требуется нажатие жезла, поэтому украсть пароль сложнее.

Отсутствует

 

№52115-12-2006 23:24:53

stoneflash
Хитрый Лис
 
Группа: Extensions
Откуда: Msk
Зарегистрирован: 02-04-2006
Сообщений: 4341

Re: Firefox vs Opera IV: тотальное сравнение браузеров

Yan

Нельзя. narod.ru выдаёт отдельные домены третьего уровня. Это безопасно.

Ах. ну да. тогда другие хостеры, дающие каталог.


«I actually hate programming, but I love solving problems» © Rasmus Lerdorf, PHP's Creator

Отсутствует

 

№52215-12-2006 23:58:31

dvdianov
Бывший хомяковод
 
Группа: Extensions
Откуда: Красногорск
Зарегистрирован: 12-06-2006
Сообщений: 1601
Веб-сайт

Re: Firefox vs Opera IV: тотальное сравнение браузеров

Например РОЛ. Там для юзеров каталог. В 5 мегов!... :sick:

Отсутствует

 

№52316-12-2006 11:48:18

krigstask
друг народа
 
Группа: Members
Откуда: Rampova, Inkerimaa
Зарегистрирован: 13-09-2005
Сообщений: 4593
Веб-сайт

Re: Firefox vs Opera IV: тотальное сравнение браузеров

Yan

В Опере ситуация с багом аналогичная, но там для подстановки пароля от пользователя требуется нажатие жезла, поэтому украсть пароль сложнее

Именно (что я вроде как уже писал... Нет?..)
И опять-таки, в 9.1b поправлено.


Ядрёная консоль делает меня сильней!

Отсутствует

 

№52416-12-2006 12:41:44

Yan
Участник
 
Группа: Extensions
Откуда: Москва
Зарегистрирован: 27-02-2005
Сообщений: 1019

Re: Firefox vs Opera IV: тотальное сравнение браузеров

stoneflash

Ах. ну да. тогда другие хостеры, дающие каталог.
dvdianov
Например РОЛ. Там для юзеров каталог. В 5 мегов!..

Если хостер выделяет пользователям каталоги, то хостер уязвим, и ему не следует размещать на том же домене просмотр (или отправку) какой-либо важной информации.
У rol.ru просмотр важной информации (почты) сделан на отдельном домене mail.rol.ru, что хорошо. Но форма входа располагается в корне rol.ru, что плохо. Ведь можно считать логин+пароль через JS, даже не прибегая к использованию обсуждаемого бага с автоподстановкой паролей.

Позволять пользователям внедрять собственный HTML без ограничений в пространство собственного домена опасно в любом случае! Необходимо парсить этот HTML и удалять оттуда всё лишнее (скрипты, стили, в некоторых случаях формы).

krigstask

Именно (что я вроде как уже писал... Нет?..)

Писал, да мельком. Никто внимания не обратил, видимо. :)

И опять-таки, в 9.1b поправлено.

Уже вроде как 9.1f. :)
Скачал, посмотрел, -- ложную форму теперь не заполняет, но никаких предупреждений при отправке пароля на другой домен не появляется. Наверное, это правильный вариант, и разработчикам Firefox стоит поступить так же.

Отсутствует

 

№52516-12-2006 14:26:16

krigstask
друг народа
 
Группа: Members
Откуда: Rampova, Inkerimaa
Зарегистрирован: 13-09-2005
Сообщений: 4593
Веб-сайт

Re: Firefox vs Opera IV: тотальное сравнение браузеров

Yan

Писал, да мельком. Никто внимания не обратил, видимо

Да кто меня тут слушает (-;Е

Уже вроде как 9.1f

Ах, да-да-да... (-%Е

Скачал, посмотрел, -- ложную форму теперь не заполняет, но никаких предупреждений при отправке пароля на другой домен не появляется

Хе. Ну тоже логично (-:Е


Ядрёная консоль делает меня сильней!

Отсутствует

 
  • Форумы
  •  » Флейм
  •  » Firefox vs Opera IV: тотальное сравнение браузеров

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia GitHub mark
Язык отображения форума: [Русский] [English]