NoScript и кража кликов

И интересно, как с этим дела с Опере, Конквероре и Сафари?

MSIE, естественно, тоже уязвим.

NoScript занимается чем-то кроме скриптов? Неправославно.

>Среди специалистов по веб-безопасности растёт озабоченность достаточно старым, но эффективным приёмом киберпреступников — «кражей кликов» (clickjacking), подменой одной ссылки на другую. Попытки использовать его отмечены (но предотвращены) сайтом PayPal.

Я что-то не пойму, PayPal позволяет вставлять html-контент в свои страницы или что?

> Я что-то не пойму, PayPal позволяет вставлять html-контент в свои страницы или что?

Наоборот, видимо...

Если добавить к кучке CSRF аттаки - вообще хорошо получается. Весело.

В сафаре такими вещами внешние плагины обычно занимаются

так что надо писать хороший плагин

А... хм... дошло.

обновился :)

> PayPal позволяет вставлять html-контент в свои страницы или что?

емнип, да, для business типов аккаунтов, т.е. когда принимаешь платеж, можно немного кастомить оформление.

А что такое Silverlight?

И когда уже его по умолчанию включат, разработчики так стараются... :-)

Microsoft Silverlight - ущербный аналог Adobe Flash.

Ибо нехер лазить по говносайтам...

да,да...

у меня сегодня в наглую украли несколько сотен кликов, надо в ссут подавать

> И когда уже его по умолчанию включат

Сколько знаком с ФФ, столько жду этого :(

> Ибо нехер лазить по говносайтам...

Тогда теряется главное преимущество ФФ и оперы перед MSIE :)

>Разрешено создавать электронные копии библиотечных документов >Награда нашла героя >NoScript и кража кликов

День важных новостей на лоре?

Продам 40 кликов, без документов, дешево.

Что такое "NoScript" и как его ставить?!

google://noscript

> Тогда теряется главное преимущество ФФ и оперы перед MSIE :)

Их главное преимущество -- возможность лазить по говносайтам?

> [здесь пингвин]LINUX.ORG.RU
> Добавить Новость
> Пожалуйста, соблюдайте эти правила при написании новостей:
> ...
> Из текста новости должно быть ясно, о чем она. Если вы пишете новость о выходе новой версии программы - напишите пару слов о самой программе.

Я повторю вопрос (специально для Legioner): что такое "NoScript" и куда оно помещается в системе?!

> Что такое "NoScript" и как его ставить?!

Последняя ссылка в новости. Плагин для браузеров семейства Mozilla, выборочно (по белому списку) отключающий опасные скрипты и плагины.

> Их главное преимущество -- возможность лазить по говносайтам?

Если для тебя интернет состоит из пары-тройки знакомых сайтов, которым ты доверяешь, и говна, то да. Но мне не совсем понятно, как можно жить с таким узким кругозором и фекальной ориентацией.

Преимущество хороших браузеров -- можно заходить на любой незнакомый сайт, не боясь вляпаться. Свобода! Равенство! Упячка!

> google://noscript

Firefox doesn't know how to open this address, because the protocol (google) isn't associated with any program.

А-а-а!!! У операстов воруют клики!!!! ;)

кого волнуют ваши клики? )

> А-а-а!!! У операстов воруют клики!!!! ;)

Нет, галка "Включить/отключить JavaScript" вынесена на панель с кнопками. ;)

Adobe Flex. fixed.

> у меня сегодня в наглую украли несколько сотен кликов, надо в ссут подавать

Это ещё что! Вчерась у меня украли вообще все клики. Пришлось бежать в магазин за новыми.

>Попытки использовать его отмечены (но предотвращены) сайтом PayPal.

Ну что это за херня? Ты сам прочел, что ты тут написал?

Такие атаки осуществлялись на сайт paypal, когда сайт paypal'а открывается во фрейме. Но теперь paypal блокирует этот тип атак (framebusting). И noscript поддерживает теперь этот framebusting.

>что такое "NoScript" и куда оно помещается в системе?!

это специальное устройство, помещается в голову или орган ее заменяющий. британские ученые доказали, что профилактическая лоботомия гораздо эффективнее, чем NoScript

Web site owners, however, can take one step to prevent their users from falling victim, Maone said. Programmers can use a script on their Web sites that checks to see if a Web page is embedded in another page. If so, the script forces the good Web page in front, preventing clickjacking, Maone said.

The technique is called "framebusting." Ebay's online payments service, PayPal, which is frequently targeted by cybercriminals, has already implemented framebusting, Maone said. NoScript will allow a framebusting script to run, Maone said.

шаман достал

> А что такое Silverlight?

Это как Flash, но ужасно тормозящий и от M$

> clickjacking

Как результат NoScript предупредил меня о сабже на LORе...

> Это как Flash, но ужасно тормозящий и от M$

Люблю лор. Нигде нет такого сосредоточения опытных специалистов по различным технологиям. Особенно ценно то, что заключение по какому-либо вопросу от них можно получить в одну строчку.

Прямо хоть всех сразу в какой-нибудь Gartner нанимай.

Что смешно, новый NoScript заблокировал эту IBMовскую херню на ЛОРе как Potential Clickjacking :-)

> К сожалению, Flash и Silverlight к краже кликов остаются уязвимы.

s/К сожалению/Само собой разумеется/

> это специальное устройство, помещается в голову или орган ее заменяющий.

И в какую из трех я буду себе ее ставить?!!!!11

В ту, в которую ешь..)