S>Автоматическая синхронизация ВСЕГО (закладок, плагинов, паролей, настроек, темы, истории, автозаполнения) и ее работа из коробки сразу после ввода логина-пароля на открывшемся при первом же запуске первом окне. Плюс к этому: установка в один клик без лишних вопросов. В итоге: на новом компутере (в клубе, на работе, у друга, с планшета) привычный тебе браузер доступен гдето минуты через четыре начиная с момента установки.
Опера это умела делать еще тогда, когда Хрома вообще не было. Причем все мобильные версии тоже умеют синхронизироваться, что вообще удобно, ибо вводить урлы на мобильных устройствах не сильно-то удобно. А так — все нужные сайты есть в speed dial.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Видать слишком уж секъюрный этот лаб KV>При этом в ее архитектуре нет ровным счетом ничего, способного противостоять еще не найденным в ней, но имеющим место уязвимостям.
Опять же, доказательства есть? Исходный код они уже открыли?
За все время своего существования, этот сайт был успешно взломан только один раз и в результате ошибки администрирования. Это в условиях ежедневных и многочисленных попыток его взлома. JFYI Судя по трейсу, были какие-то проблемы у хостера или с самим сервером, т.к. последний IP в трейсе — это уже площадка, на которой он расположен. Сейчас все ок. KV>>При этом в ее архитектуре нет ровным счетом ничего, способного противостоять еще не найденным в ней, но имеющим место уязвимостям. Q>Опять же, доказательства есть? Исходный код они уже открыли?
Если бы для анализа защищенности всгеда требовался исходный код, я бы давно остался без работы. Ок, я завел голосование (http://rsdn.ru/poll/3722
), после его завершения обещаю набросать статью, сравнивающую текущие механизмы защиты перечисленных там браузеров и косвенные факторы, влияющие на их защищенность
Здравствуйте, Solnche95, Вы писали:
S>Здравствуйте, DarthSidius, Вы писали:
DS>>Неважно. Мне пох. Но с процессами лучше убивать висящие вкладки с какими-нибудь кривыми скриптами.
S>А как повисший процесс отличить от функционирующих вкладок?
Я так делал на IE. ProcessExplorer и находишь какому процессу принадлежит окно. А на хроме проблем с закрытием вкладок вообще не наблюдал.
Кстати, как раз на злобу дня. Вчера боролся с одной проблемой на проекте, и в процессе копания выявилось, что этот ваш хром не отличает одинарный клик по ссылке от двойного. Точнее, двойной он воспринимает как два одинарных, отправляя два совершенно одинаковых запроса с интервалом в четверть секунды и полностью игнорируя ответ на первый из них. В результате клиент, случайно кликнувший дважды, вместо нормального ответа видел лишь сообщение, что этот запрос уже обработан. Пришлось городить костыль специально для такого надежного, безглючного и всемогущего хрома.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>>Из последнего http://www.securitylab.ru/news/430942.php
Внезапно: "Этой уязвимости также могут быть подвержены последние версии обозревателя Mozilla Firefox"
KV>>>из имеющего сплоиты: http://www.securitylab.ru/search/index.php?q=opera&where=iblock_vulnerability&how=d
XSS? Не цепляет. Остальные результаты либо требуют "Для успешной эксплуатации узявимости необходимо, чтобы жертва ввела определенную последовательность клавиш" (ну да, узявимость: жертва сама удаляет все файлы с диска), либо касаются каких-то дремучих версий и не предполагает наличия эксплоитов.
KV>За все время своего существования, этот сайт был успешно взломан только один раз и в результате ошибки администрирования.
Любой взлом сайта -- результат ошибки администрирования.
KV>>>При этом в ее архитектуре нет ровным счетом ничего, способного противостоять еще не найденным в ней, но имеющим место уязвимостям. Q>>Опять же, доказательства есть? Исходный код они уже открыли? KV>Если бы для анализа защищенности всгеда требовался исходный код, я бы давно остался без работы.
Вы ревью безопасности сайтов на заказ делаете? Сколько стоит? Лучше в личку.
Здравствуйте, quwy, Вы писали:
Q>Кстати, как раз на злобу дня. Вчера боролся с одной проблемой на проекте, и в процессе копания выявилось, что этот ваш хром не отличает одинарный клик по ссылке от двойного. Точнее, двойной он воспринимает как два одинарных, отправляя два совершенно одинаковых запроса с интервалом в четверть секунды и полностью игнорируя ответ на первый из них. В результате клиент, случайно кликнувший дважды, вместо нормального ответа видел лишь сообщение, что этот запрос уже обработан. Пришлось городить костыль специально для такого надежного, безглючного и всемогущего хрома.
Здравствуйте, quwy, Вы писали:
Q>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>>>Из последнего http://www.securitylab.ru/news/430942.php Q>Внезапно: "Этой уязвимости также могут быть подвержены последние версии обозревателя Mozilla Firefox"
Зря. Получить через эту XSS права удаленного админа на машинах большинства местных веб-разработчиков при их очередном посещении RSDN (не при щелчке по ссылке или еще каких-либо лишних действиях, а просто при открытии например этой темы из оперы) более чем возможно.
Q>Остальные результаты либо требуют "Для успешной эксплуатации узявимости необходимо, чтобы жертва ввела определенную последовательность клавиш" (ну да, узявимость: жертва сама удаляет все файлы с диска), либо касаются каких-то дремучих версий и не предполагает наличия эксплоитов.
Ну да, ну да. Начались стандартные отговорки, что это и уязвимости фальшивые (радости не приносят), и чтобы их проэксплуатировать нужно не быть школьником и сплоиты для них секлаб не опубликовал (хинт: под большинство этих уязвимостей они вполне доступны, для желающих их найти, на секлабе их нет, потому что их не было на момент выпуска адвизори). А вот скажи, сканировать локальные файлы (на секлабе это http://www.securitylab.ru/vulnerability/418566.php) на своем диске жертва тоже сама будет, например?
Понимаешь, если уязвимость требует каких-либо действий от пользователя, это еще не значит, что эти действия нельзя имитировать используя, например, XSS на каком-нибудь из посешаемых им сайтов. Или тут самую с схемой data: и т.п. И внезапно атака на такую "сложную" уязвимость" оказывается успешной при посещении пользователем какого-либо ресурса, вообще не имеющего отношения к конечной цели атакаующего. Просто нужно творчески к этому подходить.
Поэтому слышать о том, что какие-то уязвимости кого-то "не цепляют" достаточно забавно. Видишь ли, у страуса, засунувшего голову в песок, жопа-то все равно остается снаружи
KV>>За все время своего существования, этот сайт был успешно взломан только один раз и в результате ошибки администрирования. Q>Любой взлом сайта -- результат ошибки администрирования.
Угу. Только из этих ошибок, примерно 70% приходится на этап кодирования. Я хз, что в твоем понимании на этом этапе делают админы, но у нас их к кодированию не допускают
KV>>>>При этом в ее архитектуре нет ровным счетом ничего, способного противостоять еще не найденным в ней, но имеющим место уязвимостям. Q>>>Опять же, доказательства есть? Исходный код они уже открыли? KV>>Если бы для анализа защищенности всгеда требовался исходный код, я бы давно остался без работы. Q>Вы ревью безопасности сайтов на заказ делаете? Сколько стоит? Лучше в личку.
Да, наша группа именно этим и занимается, в том числе. Расценок я не знаю (и не горю желанием их узнать), но могу в личку скинуть контакты того, с кем это можно обсудить.
Здравствуйте, kochetkov.vladimir, Вы писали:
Q>>Кстати, как раз на злобу дня. Вчера боролся с одной проблемой на проекте, и в процессе копания выявилось, что этот ваш хром не отличает одинарный клик по ссылке от двойного. Точнее, двойной он воспринимает как два одинарных, отправляя два совершенно одинаковых запроса с интервалом в четверть секунды и полностью игнорируя ответ на первый из них. В результате клиент, случайно кликнувший дважды, вместо нормального ответа видел лишь сообщение, что этот запрос уже обработан. Пришлось городить костыль специально для такого надежного, безглючного и всемогущего хрома.
KV>Берем код:
KV>
Здравствуйте, quwy, Вы писали:
Q>IE и Опера при двойном клике выдают один алерт.
...о том, что произошло событие "onclick". Очень последовательное и мудрое решение. Особенно оно понравится тем, кому нужно реально отловить даблклик, а не защититься от случайного двойного нажатия
Здравствуйте, kochetkov.vladimir, Вы писали:
Q>>IE и Опера при двойном клике выдают один алерт. KV>...о том, что произошло событие "onclick". Очень последовательное и мудрое решение. Особенно оно понравится тем, кому нужно реально отловить даблклик, а не защититься от случайного двойного нажатия
Ага, а при двойном клике ловите глюки. Молодцы, че. Двойной клик можно отлавливать только скриптом, вопрос зачем посылать двойной запрос при даблклике по безскриптовой ссылке и затем игнорировать первый ответ, остается открытым.
Здравствуйте, quwy, Вы писали:
Q>Ага, а при двойном клике ловите глюки. Молодцы, че. Двойной клик можно отлавливать только скриптом, вопрос зачем посылать двойной запрос при даблклике по безскриптовой ссылке и затем игнорировать первый ответ, остается открытым.
Ну тогда давай начинать с того, что при нажатии на ссылку уходит GET-запрос (который, в соответствии со спецификацией HTML, является способом по умолчанию для получения контента с сервера), который в соответствии со спецификацией HTTP не должен изменять состояние на сервере. Следовательно, никаких "ваш запрос обрабатывается" тут быть не должно и проблема, изначально, из-за того, что при разработке вашего приложения вы не следовали либо одной, либо другой спецификации.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>>>>Из последнего http://www.securitylab.ru/news/430942.php Q>>Внезапно: "Этой уязвимости также могут быть подвержены последние версии обозревателя Mozilla Firefox" KV>И? Это как-то делает оперу защищеннее? И по факту, последние версии Firefox этому определенно не подвержены.
Вы привели ссылку, которая якобы доказывает, что опера решето в отличии от FF, и внезапно этот же ресурс сообщает о возможном наличии этой же уязвимости и у него. Если вы просто так опровергаете написанное о FF, то почему я обязан верить написанному об Опере?
KV>>>>>из имеющего сплоиты: http://www.securitylab.ru/search/index.php?q=opera&where=iblock_vulnerability&how=d Q>>XSS? Не цепляет. KV>Зря. Получить через эту XSS права удаленного админа на машинах большинства местных веб-разработчиков при их очередном посещении RSDN (не при щелчке по ссылке или еще каких-либо лишних действиях, а просто при открытии например этой темы из оперы) более чем возможно.
Так продемонстрируйте, что ли
Q>>Остальные результаты либо требуют "Для успешной эксплуатации узявимости необходимо, чтобы жертва ввела определенную последовательность клавиш" (ну да, узявимость: жертва сама удаляет все файлы с диска), либо касаются каких-то дремучих версий и не предполагает наличия эксплоитов. KV>Ну да, ну да. Начались стандартные отговорки, что это и уязвимости фальшивые (радости не приносят), и чтобы их проэксплуатировать нужно не быть школьником и сплоиты для них секлаб не опубликовал (хинт: под большинство этих уязвимостей они вполне доступны, для желающих их найти, на секлабе их нет, потому что их не было на момент выпуска адвизори). А вот скажи, сканировать локальные файлы (на секлабе это http://www.securitylab.ru/vulnerability/418566.php) на своем диске жертва тоже сама будет, например? Opera < 11.61, у меня не получилось. Вы поймите, никто не застрахован от уязвимостей, но говорить, что браузер решето только потому что в годовалой его версии есть дырка, несколько некорректно.
KV>Понимаешь, если уязвимость требует каких-либо действий от пользователя, это еще не значит, что эти действия нельзя имитировать используя, например, XSS на каком-нибудь из посешаемых им сайтов. Или тут самую с схемой data: и т.п. И внезапно атака на такую "сложную" уязвимость" оказывается успешной при посещении пользователем какого-либо ресурса, вообще не имеющего отношения к конечной цели атакаующего. Просто нужно творчески к этому подходить.
Никто не спорит, но помните ли вы время, когда FF обгонял IE6 (!!!) по количеству найденных уязвимостей? Тут давали ссылку, найти не могу. Года два назад всего.
KV>>>За все время своего существования, этот сайт был успешно взломан только один раз и в результате ошибки администрирования. Q>>Любой взлом сайта -- результат ошибки администрирования. KV>Угу. Только из этих ошибок, примерно 70% приходится на этап кодирования.
Ну я под администрированием имел в виду весь комплекс мероприятий по обеспечению работоспособности сервиса.
KV>>>>>При этом в ее архитектуре нет ровным счетом ничего, способного противостоять еще не найденным в ней, но имеющим место уязвимостям. Q>>>>Опять же, доказательства есть? Исходный код они уже открыли? KV>>>Если бы для анализа защищенности всгеда требовался исходный код, я бы давно остался без работы. Q>>Вы ревью безопасности сайтов на заказ делаете? Сколько стоит? Лучше в личку. KV>Да, наша группа именно этим и занимается, в том числе. Расценок я не знаю (и не горю желанием их узнать), но могу в личку скинуть контакты того, с кем это можно обсудить.
Давайте, неплохо бы подлатать один подопечный сервис. оказывается успешной при посещении пользователем какого-либо ресурса, вообще не имеющего отношения к конечной цели атакаующего. Просто нужно творчески к этому подходить.
Никто не спорит, но помните ли вы время, когда FF обгонял IE6 (!!!) по количеству найденных уязвимостей? Тут давали ссылку, найти не могу. Года два назад всего.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, quwy, Вы писали:
Q>>Ага, а при двойном клике ловите глюки. Молодцы, че. Двойной клик можно отлавливать только скриптом, вопрос зачем посылать двойной запрос при даблклике по безскриптовой ссылке и затем игнорировать первый ответ, остается открытым.
KV>Ну тогда давай начинать с того, что при нажатии на ссылку уходит GET-запрос (который, в соответствии со спецификацией HTML, является способом по умолчанию для получения контента с сервера), который в соответствии со спецификацией HTTP не должен изменять состояние на сервере. Следовательно, никаких "ваш запрос обрабатывается" тут быть не должно и проблема, изначально, из-за того, что при разработке вашего приложения вы не следовали либо одной, либо другой спецификации.
Вот форма, на которой была выявлена проблема:
Здравствуйте, quwy, Вы писали:
Q>Как видите, там совсем не GET.
Как вижу — тут совсем не ссылка, о которой изначально шла речь Однако же, если логика приложения не предусматривает повторную отправку запроса, это необходимо отражать в представлении, как-то типа:
Здравствуйте, quwy, Вы писали:
Q>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>>>>>Из последнего http://www.securitylab.ru/news/430942.php Q>>>Внезапно: "Этой уязвимости также могут быть подвержены последние версии обозревателя Mozilla Firefox" KV>>И? Это как-то делает оперу защищеннее? И по факту, последние версии Firefox этому определенно не подвержены. Q>Вы привели ссылку, которая якобы доказывает, что опера решето в отличии от FF,
В отличии от IE и Chrome, о чем я явным образом оговорился. Причем тут FF?
Q>и внезапно этот же ресурс сообщает о возможном наличии этой же уязвимости и у него. Если вы просто так опровергаете написанное о FF, то почему я обязан верить написанному об Опере?
Не обязан. У меня (в отличии от топикстартера, например) не бывает баттхерта от того, что кто-то имеет точку зрения, отличную от моей. Моя система ценностей проще. Если кто-то хочет пользоваться незащищенным браузером и не верить в его незащищенность — кто я такой, чтобы ему мешать?
KV>>>>>>из имеющего сплоиты: http://www.securitylab.ru/search/index.php?q=opera&where=iblock_vulnerability&how=d Q>>>XSS? Не цепляет. KV>>Зря. Получить через эту XSS права удаленного админа на машинах большинства местных веб-разработчиков при их очередном посещении RSDN (не при щелчке по ссылке или еще каких-либо лишних действиях, а просто при открытии например этой темы из оперы) более чем возможно. Q>Так продемонстрируйте, что ли
"Все уже украдено до нас" (с) http://habrahabr.ru/post/149152/ , см. раздел "Борьба с XSS — проблема пользователя, да и вообще XSS — это несерьезно" — там есть ссылка на презентацию ровно с такой атакой.
Q>>>Остальные результаты либо требуют "Для успешной эксплуатации узявимости необходимо, чтобы жертва ввела определенную последовательность клавиш" (ну да, узявимость: жертва сама удаляет все файлы с диска), либо касаются каких-то дремучих версий и не предполагает наличия эксплоитов. KV>>Ну да, ну да. Начались стандартные отговорки, что это и уязвимости фальшивые (радости не приносят), и чтобы их проэксплуатировать нужно не быть школьником и сплоиты для них секлаб не опубликовал (хинт: под большинство этих уязвимостей они вполне доступны, для желающих их найти, на секлабе их нет, потому что их не было на момент выпуска адвизори). А вот скажи, сканировать локальные файлы (на секлабе это http://www.securitylab.ru/vulnerability/418566.php) на своем диске жертва тоже сама будет, например? Q>Opera < 11.61, у меня не получилось. Вы поймите, никто не застрахован от уязвимостей, но говорить, что браузер решето только потому что в годовалой его версии есть дырка, несколько некорректно.
Я считаю его решетом совершенно не по этой причине. Это ты попросил у меня ссылки на уязвимости. А теперь споришь, что эти ссылки ничего не доказывают. Где тут логика?
KV>>Понимаешь, если уязвимость требует каких-либо действий от пользователя, это еще не значит, что эти действия нельзя имитировать используя, например, XSS на каком-нибудь из посешаемых им сайтов. Или тут самую с схемой data: и т.п. И внезапно атака на такую "сложную" уязвимость" оказывается успешной при посещении пользователем какого-либо ресурса, вообще не имеющего отношения к конечной цели атакаующего. Просто нужно творчески к этому подходить. Q>Никто не спорит, но помните ли вы время, когда FF обгонял IE6 (!!!) по количеству найденных уязвимостей? Тут давали ссылку, найти не могу. Года два назад всего.
Эту ссылку давал я, поясняя, почему количество найденных уязвимостей вообще не является критерием оценки защищенности приложения.
KV>>>>За все время своего существования, этот сайт был успешно взломан только один раз и в результате ошибки администрирования. Q>>>Любой взлом сайта -- результат ошибки администрирования. KV>>Угу. Только из этих ошибок, примерно 70% приходится на этап кодирования. Q>Ну я под администрированием имел в виду весь комплекс мероприятий по обеспечению работоспособности сервиса.
Включая разработку архитектуры и ее реализацию в коде? Оригинальная терминология.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>>И? Это как-то делает оперу защищеннее? И по факту, последние версии Firefox этому определенно не подвержены. Q>>Вы привели ссылку, которая якобы доказывает, что опера решето в отличии от FF, KV>В отличии от IE и Chrome, о чем я явным образом оговорился. Причем тут FF?
Виноват.
Q>>и внезапно этот же ресурс сообщает о возможном наличии этой же уязвимости и у него. Если вы просто так опровергаете написанное о FF, то почему я обязан верить написанному об Опере? KV>Не обязан. У меня (в отличии от топикстартера, например) не бывает баттхерта от того, что кто-то имеет точку зрения, отличную от моей. Моя система ценностей проще. Если кто-то хочет пользоваться незащищенным браузером и не верить в его незащищенность — кто я такой, чтобы ему мешать?
Да причем тут баттхерт? Тем более, что 99.(9) пользователей хрома используют его отнюдь не потому что он якобы более защищенный.
KV>>>Зря. Получить через эту XSS права удаленного админа на машинах большинства местных веб-разработчиков при их очередном посещении RSDN (не при щелчке по ссылке или еще каких-либо лишних действиях, а просто при открытии например этой темы из оперы) более чем возможно. Q>>Так продемонстрируйте, что ли KV>"Все уже украдено до нас" (с) http://habrahabr.ru/post/149152/ , см. раздел "Борьба с XSS — проблема пользователя, да и вообще XSS — это несерьезно" — там есть ссылка на презентацию ровно с такой атакой.
Читал, читал. Проблема есть, но не так страшен черт.
Q>>Opera < 11.61, у меня не получилось. Вы поймите, никто не застрахован от уязвимостей, но говорить, что браузер решето только потому что в годовалой его версии есть дырка, несколько некорректно. KV>Я считаю его решетом совершенно не по этой причине. Это ты попросил у меня ссылки на уязвимости. А теперь споришь, что эти ссылки ничего не доказывают. Где тут логика?
Логика в том, что если я найду уязвимости в KHTML/KJS это ведь не будет воспринято как камень в сторону хрома. Почему?
Q>>Никто не спорит, но помните ли вы время, когда FF обгонял IE6 (!!!) по количеству найденных уязвимостей? Тут давали ссылку, найти не могу. Года два назад всего. KV>Эту ссылку давал я, поясняя, почему количество найденных уязвимостей вообще не является критерием оценки защищенности приложения.
Зато количество уязвимостей вообще -- является, а найденные -- это лишь подмножество существующих. Если их нашли больше, чем в таком решете как IE6, то это косвенно говорит о том, что их там вообще больше, особенно если сравнить распространенность IE6 и FF на то время.
Q>>Ну я под администрированием имел в виду весь комплекс мероприятий по обеспечению работоспособности сервиса. KV>Включая разработку архитектуры и ее реализацию в коде? Оригинальная терминология.
Когда на сайте происходит ошибка, он обычно пишет нечто типа "произошла ошибка, обратитесь к администратору", хотя ошибка как правило не в работоспособности сервисов ОС или железа, а в кривом коде.произошла ошибка, обратитесь к администратору
Здравствуйте, kochetkov.vladimir, Вы писали:
Q>>Как видите, там совсем не GET. KV>Как вижу — тут совсем не ссылка, о которой изначально шла речь
С точки зрения пользователя нет никакой разницы.
KV>Однако же, если логика приложения не предусматривает повторную отправку запроса, это необходимо отражать в представлении, как-то типа: KV>
KV>И хром тут, опять-таки не причем
Во-первых это костыль. А во-вторых этот костыль никак не учитывает возможность отклонения запроса сервером (например, по причине неправильного заполнения формы) или банального сетевого сбоя, блокируя реально нужную повторную отправку.
Q>>Видать слишком уж секъюрный этот лаб KV>За все время своего существования, этот сайт был успешно взломан только один раз и в результате ошибки администрирования. Это в условиях ежедневных и многочисленных попыток его взлома. JFYI Судя по трейсу, были какие-то проблемы у хостера или с самим сервером, т.к. последний IP в трейсе — это уже площадка, на которой он расположен. Сейчас все ок. KV>>>При этом в ее архитектуре нет ровным счетом ничего, способного противостоять еще не найденным в ней, но имеющим место уязвимостям. Q>>Опять же, доказательства есть? Исходный код они уже открыли? KV>Если бы для анализа защищенности всгеда требовался исходный код, я бы давно остался без работы. Ок, я завел голосование (http://rsdn.ru/poll/3722
), после его завершения обещаю набросать статью, сравнивающую текущие механизмы защиты перечисленных там браузеров и косвенные факторы, влияющие на их защищенность
Судя по трейсу, были какие-то проблемы у хостера или с самим сервером, т.к. последний IP в трейсе — это уже площадка, на которой он расположен. Сейчас все ок.
