Да уж, а вот если тебе надо сделать XSS на своем сайте, опера пошлет тебя куда подальше...

2. Разработчики правильно плевать хотели, ибо XSS - дело не браузера, а сайта.

что, всех сайтов?

какая разница, все равно ей никто не пользуется

млъ, там еще и файлы можно зырить в этой опере. старый баг не пофикшен. олололо

операсты не тормозят

Разорвало шаблон

Что поделать, ff удобнее. Оперу использую только на смартфоне.

Можешь в Explorer'e (не в IE, а в файловом) вбить ftp://ftp.mozilla.org/pub/mozilla.org/firefox/ и скачать нормальный браузер без участия левых программ.

┌[lord] [work-hell-machine]:~ 
└>Explorer ftp://ftp.mozilla.org/pub/mozilla.org/firefox/
bash: Explorer: command not found

PS: обожаю оперу

Эх, придётся переходить с Opera. Лучше б я это не читал.

Да.

как бы тред как раз про эту дырень

тебя не смущает, что в других браузерах такой проблемы нет?

В других браузерах она тоже есть. Только наехали почему-то на оперу.

//И еще, ты же не считаешь, что возмоность расшифровать упертый wand.dat - уязвимость?

//И еще, ты же не считаешь, что возмоность расшифровать упертый wand.dat - уязвимость?

нет, но я считаю что xss на любом сайте - fail.

В других браузерах она тоже есть.

давай пруфлинк что ли. желательно на PoC

из того же треда еще один любопытный пост https://rdot.org/forum/showpost.php?p=28985&postcount=15

еще интересно, будет ли оно работать на лоре. никто не проверял еще? maxcom, hizel может как то пофиксить это тут, раз опера не чешется?

мда, а вот и подробности про возможность редиректа при обработке <img> http://blog.volema.com/opera-svg-xml-shortcut-uxss.html#.UIgTtYW_-FU

из того же треда еще один любопытный пост https://rdot.org/forum/showpost.php?p=28985&postcount=15

Вот я думал, что тред об этой уязвимости.

работать будет, пофиксить это нельзя, только если запретить все внешние ссылки.

Аккаунт увести не получится по ряду причин, но некоторое время побыть другим пользователем получится

http://ru.redhat.com/

ну как бы у них <title>Red Hat | The World's Open Source Leader</title>

понятно, спасибо.

но некоторое время побыть другим пользователем получится

да, именно вопрос угона кук интересовал. хорошо хоть img нельзя вставлять свои :)

В opera-next бага я не заметил, она отказывается переходить по ссылкам «data». То ли наспех залатали, то ли забыли портировать. Баг с переадресацией в картинке не проверял ещё.

она отказывается переходить по ссылкам «data».

Отказывается вообще, или перейдет если пропустить через tinyurl.com, на выходе отдавая что-то вроде http://tinyurl.com/yourlink ?

перейдет если пропустить через tinyurl.com ?

Проверял по ссылке, которую xtraeft дал. Там как раз tinyurl.com используется. Так что и по ним тоже нет.

http://tinyurl.com/yourlink

А ты в курсе, что твоя ссылка рабочая? :)

еще интересно, будет ли оно работать на лоре.

Работает вроде

гыгы, в фф работает

гыгы, в фф работает

хм, точно, работает в 16.0.1

а в хроме нет

Веб-страница по адресу data:text/html;base64,PHNjcmlwdD5hbGVydCgiSEkgTE9SIHwgIitkb2N1bWVudC5kb21haW4rIiB8IEhJIExPUiIpOzwvc2NyaXB0Pg==, возможно, временно недоступна или постоянно перемещена по новому адресу.
Ошибка 311 (net::ERR_UNSAFE_REDIRECT): Неизвестная ошибка.

Ну и в мозиле он тоже не до конца работает, по середине он должен домен показывать, а не показывает, значит к кукисам доступа не получить.

не работает, если быть точным

у тебя в коде

<script>alert(«HI LOR | »+document.domain+" | HI LOR");</script>

а оно отдает только

HI LOR | | HI LOR

Ну да, так что бояться нужно только оперовцам.

а по img:

SVG был выбран как возможность подгрузить какой-нибудь файл через img-тег.
Ни refresh-хедер, ни упаковка в data-урл, тут не нужна по-сути (просто для красоты добавлен).
Варианты остаются следующие:
1) <ForeignObject> и <meta refresh> теги в теле svg.
2) <ForeignObject> и <iframe>, или <embed> теги в теле svg.
А вот Location-хедер не годится, потому что тогда рисунку не присвоится svg+xml тип.

это получается, можно встроить в svg нулевой ифрейм, и сливать всех несчастных пользователей оперы на эксплойты для браузера/жабы/флеша/пдф?

Да, так и получается, а перебрасывать можно на тот же data: с угоном кукисов, в итоге все заходящие на сайт будут отдавать свои сессии вообще ничего не кликнув, гхм, нужно где нибудь постебаться :)

мда, красота.
интересно, почему девелоперы оперы фиксить то этот кошмар не хотят?

почему девелоперы оперы фиксить то этот кошмар не хотят?

Этот кошмар нужно прям на их офф-форуме запостить, с редиректом на порнобанер, тогда захотят наверно.

и на морде лора, чтобы местные операсты открыли глаза

Если честно я вообще ничего не понял из того что в этом треде написано, можете объяснить доступно, если на опере-некст пересидеть смутное время, то я могу быть спокоен за свои печеньки? Нетбук лисичку не тянет, а от шрифтов в хромике мне глазики совсем плохо, сетчаточка отходит, кровушка идёт.

Я не навижу себя за то, что я это напишу, но...

Пользователи ненужно теряют свои акки ненужно.

Кстати баг с картинками в 12.02 пофиксен вроде как.

За вконтактик? Неа, пусть они поскорее сдохнет. За файл wand.bat? Неа, всегда набираю пароли по памяти, при том что пароли всегда немение 8 знаков.

тред то почитай, теоретик

если на опере-некст пересидеть смутное время, то я могу быть спокоен за свои печеньки?

Не знаю как там в опере-некст, но если на пальцах, то: в любом сайте, где есть возможность постить ссылки, можно запостить ссылку, которая будет являться скриптом, браузеры мозила и хром такую попросту не обработают, а вот опера обработает как скрипт, и выполнит что что там хакер написал.

Теперь по поводу изображений: опера ниже чем 12.01, может корректно обработать тег <img src=«1.php» />, а если скрипт 1.php содержит код:

<?php 
header('Content-type: image/svg+xml');
header('Refresh: 0;url=data:application/internet-shortcut,%5BInternetShortcut%5D%0D%0AURL%3D'.urlencode('http://www.linux.org.ru/'));
echo '<svg xmlns="http://www.w3.org/2000/svg" version="1.1" />';
?>

не ври, при отслоении сетчатки кровь не идёт

опера ниже чем 12.01, может корректно обработать тег <img src=«1.php» />,
а если скрипт 1.php содержит код:

только не говои что ФФ и хромой не обработают <img src=«1.php» />

Опа, в 12.02 баг с картинкой тоже работает...

они обработают, но не выполнят скрипт.

Пример с svg http://getdev.16mb.com/0.html

Пример с svg http://getdev.16mb.com/0.html

opera-next, баг присутствует.

Ты про куки? эхехе.... Не судите по себе, пошол заниматся своими делами дальше.

тоесть они отлавливают вещи типа таких заголовков
Refresh: 0;url=data:application/internet-shortcut,%5BInternetShortcut%5D%0D%0AURL%3D'.urlencode('www.linux.org.ru/)
??

Тут как раз пересеклись две группы пользователей, которые должны страдать.

они отлавливают вещи типа таких заголовков

не знаю, кода браузеров не смотрел.

Пример с svg http://getdev.16mb.com/0.html

opera-next, баг присутствует.

ХА!
чтоб ЭТО перестало работать в Опере, нужно в настройках network отрубить «enable automatic redirection», и всё, XSS уязвимость закрыта