Межсайтовый скриптинг в Mozilla browser

Баг закрыт х** знает когда еще в 1.6 beta. Модераторы тормозят

Удаленный пользователь может сконструировать HTML документ, содержащий специально обработанный javascript-код, который, когда будет загружен в браузере целевого пользователя, выполнит javascript код в контексте этой страницы.

Очень страшный баг - называется "поддержка javascript"

%))))

Далеко не все пользователи обновляют мозиллу с каждым релизом, некторых вполне устаривают 1.2 и 1.3. А некоторые пользуют netscape.

Похоже с мозиллой будет как с линуксом -- пока линуксом никто не пользовался, дырок было меньше чем в оффтопике, а сейчас линукс стал дырявее виндов. Так и мозилла скоро по дырам догонит ишака и перегонит.

>> а сейчас линукс стал дырявее виндов

Есть чем подтвердить сие высказывание?

Ни какого вреда от этого бага нет. Под рутом все равно никто не сидит (кроме ламо), а в винде все ставят себя в группу администраторы.

>> Ни какого вреда от этого бага нет. Под рутом все равно никто не сидит (кроме ламо), а в винде все ставят себя в группу администраторы.

А при чем здесь рут или не рут. Доступа у скрипта не должно быть все равно к локальным данным.

Ошибка по принципу "нашли за что зацепиться".

> Ни какого вреда от этого бага нет

Рут/не рут в данном случае не важно. Используя cross-scripting можно утащить cookie другого сайта, например с сохраненным паролем.

В случае linux.org.ru это неприятно, но не более того. А если стянут cookie, скажем, от интернет магазина можно хорошо попасть.

Обидно - все же Потрахались с IE на эту тему - так mozilla туда же :(

вот потому-то куки зло, и их следует давить

а двух дыр в mremap за два месяца недостаточно?

Тогда вот результаты серьезного исследования: http://zdnet.ru/?ID=314225

Анализ хакерских атак на онлайновые службы, выполненный в январе британской консалтинговой фирмой mi2g, показал, что чаще всего от них страдают Linux-серверы, на долю которых пришлись 13 654 успешные атаки, или 80% от всех выявленных атак. Windows с большим отрывом заняла второе место с 2005 успешными атаками.

>> а сейчас линукс стал дырявее виндов

Постоянно слежу за багтраком, секфокусом и секлабом. Конечно это не отражает полную картину дырявости ПО, но некоторое представление дает ;) И, имхо, сейчас windows дырявее :) Конечно и в линухе дырки стали находить чаще, как я понимаю, это обратная сторона растущей популярности, но винда ... семь (может уже шесть или пять уже) дырок которые до сих пор не залатаны, но уже найдены, много говорит о подходе МС к защищенности.

>Анализ хакерских атак на онлайновые службы, выполненный в январе >британской консалтинговой фирмой mi2g, показал, что чаще всего от них >страдают Linux-серверы, на долю которых пришлись 13 654 успешные >атаки, или 80% от всех выявленных атак. Windows с большим отрывом >заняла второе место с 2005 успешными атаками. а что тут удивительного если серваков на лялихе в 10 раз больше чем на виндах? умножте 2005 на 10 :)

>> Анализ хакерских атак на онлайновые службы, выполненный в январе британской консалтинговой фирмой mi2g, показал, что чаще всего от них страдают Linux-серверы, на долю которых пришлись 13 654 успешные атаки, или 80% от всех выявленных атак. Windows с большим отрывом заняла второе место с 2005 успешными атаками.

Давайте проведем подсчет взломанных Windows-десктопов и Linux-десктопов за последний год. Затем полученные числа сложем и посчитаем аналогичные проценты. Представьте себе какие получатся цифры ;) Ваше исследования - та же фигня только сбоку.

Там же и оговорка есть, что считались только взломы "в ручную", я то что сотни тысяч выньдозных тачек были заражены червями "на автомате" - это в расчет не приняли...

"Согласно отчету, наиболее безопасными ОС оказались BSD (Berkley Software Distribution) и Mac OS X. mi2g подчеркивает, что ее исследование сосредоточено на «явных цифровых атаках» и не принимает во внимание другие методы проникновения в систему, например, с помощью компьютерных вирусов и червей."

Зае##тое "исследование" Ж) Это, типа, как посчитать сколько человек обратилось в травмпункт подскальзнувшись на арбузной корке и не учитывать пи#данувшихся зимой в гололед :))

Интересно сколько серверов под Mac OS X и где они стоят... Самая безопасная операционка это СР/М ее ваще удаленно взломать нельзя !

исходя из этой концепции вынь3.11 намного надежней БСД и ихней макоси поскольку я что-то не слышал что-бы сервера под ним в последнее время ломали...
ЗЫ а где поправка на распространенность в критических задачах?

Достали нах.

Linux vs *BSD vs Windows

"Рынок Unix-серверов в целом сократился на 4% до 16,7 млрд долл., зато рынок Linux-серверов вырос на 90%"

Как сообщила в среду аналитическая фирма Gartner

Темп роста 90%, где вы столько квалифицированных админов найдете?

Вот и ломают их как погремушки.

2anonymous (*) (27.02.2004 12:28:42)
>а сейчас линукс стал дырявее виндов.
Конечно, дырявее, сам M$ акамаем с Linux закрыт %-)
>Так и мозилла скоро по дырам догонит ишака и перегонит.
Мечты? :-)

Мечтай-мечтай, Bsd-un ;)

> В случае linux.org.ru это неприятно, но не более того. А если стянут cookie, скажем, от интернет магазина можно хорошо попасть.

Неправда. Если стянуть cookie гражданина R00T, то можно здорово попасть. Кабан еще тот.

> Неправда. Если стянуть cookie гражданина R00T, то можно
> здорово попасть. Кабан еще тот.

пропал гражданин рут. после треда про ядро 2.4.25.

"не вынесла душа поэта
позора мелочных обид"

Кажись, Лермонтов

>Анализ хакерских атак на онлайновые службы, выполненный в январе >британской консалтинговой фирмой mi2g, показал, что чаще всего от них >страдают Linux-серверы, на долю которых пришлись 13 654 успешные >атаки, или 80% от всех выявленных атак. Windows с большим отрывом >заняла второе место с 2005 успешными атаками. а что тут удивительного если серваков на лялихе в 10 раз больше чем на виндах? умножте 2005 на 10 :)

:) А ты с Бздей сравни тогда...;)

> Интересно сколько серверов под Mac OS X и где они стоят...
Много где, в Пентагоне например имеются... XServe рулит, правда недешев... На, попускай слюни - http://www.apple.com/xserve/ :)

2 Irsi (*) (27.02.2004 15:36:39):

>Много где, в Пентагоне например имеются... XServe рулит, правда недешев... На, попускай слюни - http://www.apple.com/xserve/ :)

Пусть пентагон поставит эти сервера в интернет на толстый канал - тогда посмотрим как будет рулить макОСх :_)

Нормально будет рулить...:) А какие сомнения тебя грызут? По пунктам, конкретно...:)

каалось бы, при чем здесь слака?

> Нормально будет рулить...:) А какие сомнения тебя грызут? По пунктам, конкретно...:)

А адресок можно?

Это совсем не отражает текушее состояние дел . На самом деле взломанных виднов во много раз больше . Почти весь спам сейчас идет через взломанные винды , заражение винды трояном - это тоже взлом. И все это МИЛЛИОНЫ машин!!!

мальчик, ты эти "миллионы" откуда взял? из теле-ящика или из газеты "Жизнь", или прямо с потолка?

или у тебя было на трех машинах две винды и один линукс, и тебя через каждую из них поимели по три раза?

>а в винде все ставят себя в группу администраторы.

не все, а тоже только ламо

каалось бы, при чем здесь слака?

----

мне кажется при том, что слака самая надженая простая и удобная ОС

> результаты серьезного исследования
You said mi2g is seriously researching something. huh?8)
It's proven M$-sponsored company so the bias is very well understandable.;)