LINUX.ORG.RU

Дыра в Мозиле позволяет следить куда уходят посетители


0

0

Была обнаружена дыра в Мозиле в плоть до 1.2а, которая позволяет владельцам веб страничек смотреть куда уходят песетители страницы. Демонстрация дыры доступна http://members.ping.de/~sven/mozbug/r...

>>> Подробности

anonymous

Проверено: green

Проверил - дейстительно работает.

unset
()

А разве эта инфа в логи apache не идет автоматически?

anonymous
()

Скажи plz, а кому плохо от этой дырки? :)
Ну узнают, куда я ушел -- и что дальше-то? :)

anonymous
()

privacy и все такое... а вдруг у тебя там сверхсекретный суперприватный сайт с паролем передающимся по GET =)

anonymous
()

2 anonymous (*) (2002-09-16 12:10:59.739)
Ты пошутил, да? :)
Сверхсекретный суперприватный с паролем через GET ? :)

Секурность -- превыше всего :) Согласный :)
Но как же заимплементить столь рулезный рулез? :)))

anonymous
()

тока сегодня 1.1 скомпилил ... а тут ...

borisych ★★★★★
()

в IE тоже такая херня есть ;)

anonymous
()

2anonymous (*) (2002-09-16 14:05:06.554): А вот это - не новость! :-)

anonymous
()

В ИЕ6 эта фенька не работает.

anonymous
()

Привет, All Всем любителям Мозиллы посвящается :)

Удачи

anonymous
()

Такое дело - кто можэт обяснить про mount-rainier в CDRW Teac CDW 524 E

Блин , в чём в чём - а в любом ишаке всё будет работать - то есть все дыры

manowar ★★
()

;( Блин у всех работает, а у меня в links||lynx нифига не пашет.

Наверное не повезло :)

deepred
()

Эххх А как эту дырку в конквуероре сделать? Патчик намыльте - уж больно хоцца :):)

asoneofus
()

>All Всем любителям Мозиллы посвящается :)

Да по сравнению с эксплорными дырами эта дыра просто как игольное ушко по сравнению с камазом :)

Karmadon
()


Куки они всегда потенциальная утечка инфы. Вспомните, сколько дыр было
найдена на них. Поэтому я первым делом их отключаю в любом браузере.
Нефиг баловать вебмастеров. Пускай учатся сессии обрабатывать.

anonymous
()
Ответ на: комментарий от anonymous

<Поэтому я первым делом их отключаю в любом браузере. Нефиг баловать вебмастеров.>
Ага, и потом трахаешься, когда сайт, нужный конкретно _тебе_, их использует.

AC
()

В Netscape 7 тоже работает.

anonymous
()

А дыра ли это? ШЮтка.

hobbit ★★★★★
()
Ответ на: комментарий от AC

to AC (*) (2002-09-16 21:48:03.909)
Нет, не трахаюсь. Интересных для меня сайтов, где нужны куки
практически нет. Куки - это каменный век, Нормальный сайты
пользуют сессии. Предпочтения юзера так же пишутся на самом сайте в базу и восстанавливаются при открытии сеанса. Нафиг эти куки не упали.

anonymous
()

А еще интересно, что куки всегда очень любила пропагандировать микрошофт. Послушай, что сказала микрошофт, и сделай наоборот ;-)

anonymous
()

Ну и когда MS пропагандировала куки? Ссылочку?

anonymous
()

Вообще-то cookies - разработка Netscape (не для поднятия флейма, а просто для информации). Также как JavaScript и многое другое. А Mozilla - лучший браузер на свете, особенно для web-разработчиков.

anonymous
()

anonymous (*) (2002-09-17 09:09:36.306): Ну и где там пропоганда куков? Я там вижу только объяснение где их применяют и как их контролировать. Мне всё таки пожалуйста "куки всегда очень любила пропагандировать микрошофт" пока что пропаганда исходит от тебя, анонимный брат.

anonymous
()
Ответ на: комментарий от anonymous

<Интересных для меня сайтов, где нужны куки практически нет.>
А для меня -- есть.
<Нормальный сайты пользуют сессии. >
Для меня нормальность сайта заключается не в технических деталаях его работы, а в содержании и его для меня интересности.

AC
()

кто заказывал konqueror ? :)

Package : Konquerer
Vulnerability : cross site scripting
Problem-Type : remote
Debian-specific: no
Upstream URL : http://www.kde.org/info/security/advisory-20020908-2.txt

A cross site scripting problem has been discovered in Konquerer, a
famous browser for KDE and other programs using KHTML. The KDE team
reports that Konqueror's cross site scripting protection fails to
initialize the domains on sub-(i)frames correctly. As a result,
Javascript is able to access any foreign subframe which is defined in
the HTML source. Users of Konqueror and other KDE software that uses
the KHTML rendering engine may become victim of a cookie stealing and
other cross site scripting attacks.

unset
()

кто заказывал Konquerer ? :)

очепятка вышла ;)

unset
()

2 anonymous (*) (2002-09-17 10:14:03.216) Если Mozilla - лучший браузер на свете, особенно для web-разработчиков... То почему эти самые web-разработчиков оптимизируют свои web-разработки под ИЕ??? ;-)

anonymous
()

to: anonymous (*) (2002-09-17 14:27:12.242)

Разработчики проверяют свои сайты(если это норамльные разработчики)на IE, мозилле.

Дырка эта в мозилле закрывается в течение минуты либо как по ссылке написано(в теме треда) либо настройкой proxy чтоб хедер Referer давил. Вот и все солюшены =)

anonymous
()

Э.... кто там против кук и за сессии? Раскажи-ка мне на каком интересно механизме эти сессии реализованы? Ну если не куки то что? ГЕТ что-ли?

Lexa
()

to: Lexa (*) (2002-09-17 18:14:08.886)

Можно гет можно в hidden можно настроив DNS можно еще как-то =)

anonymous
()
Ответ на: комментарий от Lexa


> Э.... кто там против кук и за сессии?

Это я... Грубо говоря куки требуют действий со стороны клиента- запиши куки/отдай куки. Если я зашел в интернет-кафе или к другу в гости... Какого хрена на чужой машине должна делать моя персональная информация?
Есть конечно одноразовые куки (на сеанс), но тогда они лишь частично решают задачу, которая перед ними поставлена. Про сессии можешь почитать, например, в документации по PHP, есть модули для перл и т.д.
Сессии инициируются сервером в виде добавки к урлу уникального Session ID, котороый сопровождает тебя во время переходов по сайту. Сервер сам
запоминает все, что от тебя нужно. Хранятся сессии в файлах или в базе.

anonymous
()

> anonymous (*) (2002-09-17 18:37:21.508)

Ну! А потом в этом интернет-кафе смотрят хистори и... В чем разница?

В ПХП сессии реализованы прозрачно двумя способами: 1. куки 2. гет-параметр. Обрати внимание что и там и там хранится только идентификатор сессии.

А вот теперь объясни мне пожалуйста в чем преимущества второго варианта?

Lexa
()

> anonymous (*) (2002-09-17 18:25:13.866)

Как-как настроив ДНС? Ребят, вы о чем?!

Lexa
()


Вот взять к примеру этот самый сайт.
Сейчас в окне, где пишется урл видно вот что:
http://www.linux.org.ru/view-message.jsp?msgid=228840&scroll=section&...

А могло быть (если б вемастер был более образованный) вот что:
http://www.linux.org.ru/view-message.jsp?SID=blablabla&msgid=228840
Все остальные параметры (включая логин после авторизации) находятся в сессионной переменной на сервере.

anonymous
()
Ответ на: комментарий от Lexa


2Lexa (*) (2002-09-17 18:42:49.882)
Разница в том, что в куках пишутся некие готовые данные. В сессии чужой
может посмотреть только идентификатор. Который у правильного вемастера
1) привязывается к IP, 2) имеет ограниченный срок жизни - как правило 10-15 минут, 3) юзер по окончание работы может нажать кнопку выхода из сессии, разрушая все имеющиеся данные.

Преимущество GET-параметра - его гораздо меньшая уязвимость к вскрытию
персональной информации. Если ты входишь на запароленную страницу, то
пароль твой и логин должен передаваться в куках при каждом запросе.
Для сессии ты передаешь только ничего не значащий идентификатор, а сам
обмен логином/паролем можно провести через защищенное соединение.
Плюс я уже говорил, что куки имеют достаточную заметную секьюрити историю. Сессии гораздо больше защищены.

anonymous
()
Ответ на: комментарий от anonymous


Про трюки с ДНС... это маразм на самом деле. Да, технология имеет право на жизнь... но... выглядит супер криво и далеко не все могут ей воспользоваться (пример - хостинг).

anonymous
()

> anonymous (*) (2002-09-17 18:55:20.387)

Повторю вопрос более доходчиво. Если мы в куках храним идентификатор сессии, то чем это хуже чем его передача гет-запросом?

Ладно, объясню. Куки и сессии - это не взаимоисключающие технологии. Сравнивать их некорректно, т.к. например те же самые сессии могут быть cookies-based.

Lexa
()

> anonymous (*) (2002-09-17 18:55:02.678)

Да-а-а-а уж. Ну а это чем лучше/хуже кук или гета?

Lexa
()

to: anonymous (*) (2002-09-17 18:55:20.387)

Ну на счет привязки к IP- это совсем глупо =). Proxy есть. Вот интересна ситуация(с сессиями): к примеру зашел ты на страничку, где не используют механизма кук что-то там заполняешь в большууую форму, связь рвется и ты думаешь попить пива-водки. В течении получаса твоя сессия на сервере благополучно зачищается мусоросборщиком и надо начинать все сначала. С куками такого не получится (если ты только сам браузер не закрыл)

anonymous
()
Ответ на: комментарий от Lexa


> чем это хуже чем его передача гет-запросом?

Повторю ответ более доходчиво. С куками происходят дополнительные операции на стороне клиента - запись/чтения. Это есть та потенциальная
дырка, которую неоднократно использовали. Смотри securityfocus и другие
источники для инфомации. В остальном сессии в куках вроде ничем не отличаются.

anonymous
()
Ответ на: комментарий от Lexa


> чем это хуже чем его передача гет-запросом?

Повторю ответ более доходчиво. С куками происходят дополнительные операции на стороне клиента - запись/чтения. Это есть та потенциальная
дырка, которую неоднократно использовали. Смотри securityfocus и другие
источники для инфомации. В остальном сессии в куках вроде ничем не отличаются.

anonymous
()

to Lexa (*) (2002-09-17 19:05:31.148)

Да ни чем не хуже! =) Просто некоторые люди их отключают и тогда твой проект, основанный на куках, просто не будет работать, а передача через гет будет работать всегда (если конечно этот параноик не отключит и гет =)) )

anonymous
()
Ответ на: комментарий от Lexa


> чем это хуже чем его передача гет-запросом?

Повторю ответ более доходчиво. С куками происходят дополнительные операции на стороне клиента - запись/чтения. Это есть та потенциальная
дырка, которую неоднократно использовали. Смотри securityfocus и другие
источники для инфомации. В остальном сессии в куках вроде ничем не отличаются.

Блин, я пас... Невозможно на этом гребанном серваке общаться. Ждешь пока запостится несколько минут!

anonymous
()

to Lexa (*) (2002-09-17 19:05:31.148)

Да ни чем не хуже! =) Просто некоторые люди их отключают и тогда твой проект, основанный на куках, просто не будет работать, а передача через гет будет работать всегда (если конечно этот параноик не отключит и гет =)) )

anonymous
()

Да, блин.... Сайт конечно хороший, но работает отвратительно...практически совсем не работает, жопа =(

anonymous
()

Да, блин.... Сайт конечно хороший, но работает отвратительно...практически совсем не работает, жопа =(

anonymous
()

> anonymous (*) (2002-09-17 19:15:08.597)

Ну в том же пхп если не удается записать сессионную куку, вроде можно автоматом на гет-параметр переключиться.

По моему мнению минусы гет-сессий:

1. Остаются в хистори
2. Остаются в логах
3. Часто гет-сессии заводятся для поисковых машин, как непринимающих куки. Бывают проблемы, если сессия с момента индексирования устарела.
4. Поисходит смешивание персональных данных пользователя с параметрами сайта. Как, например, ты кинешь ссылку другу на сайт, у которого на тебя заведена гет-сессия т.к. ты решил там цвет фона настроить? Руками будешь свою сессию из урла вычищать? Не будешь? А ты уверен что сервер привязывает сессии к ИП? То-то.
5. Ну и еще кое-какие есть, но забыл. ;)

Lexa
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.