Официальный форум писателя Сергея Садова

Полная версия: Уязвимость браузера Opera!
Вы просматриваете yпpощеннyю веpсию форума. Пеpейти к полной веpсии.
Внимание! Просьба всем, кто использует браузер Опера всех версий до 12.02, временно, до выхода версии 12.10, перейти на любой другой в связи с выявленной критической уязвимостью к XSS-атакам.


Браузер Opera позволяет выполнить XSS-атаку на любой сайт, который предоставляет возможность размещения ссылок на другие сайты.
Уязвимы версии для Opera для Windows, Mac и Linux до 12.02 включительно (последняя версия на сегодняшний день). На версиях до 9.50 проверка не проводилась.

В связи с этим, на форуме скоро будет заблокирована возможность отображения кликабельных внешних ссылок для этого браузера, т.к. существует угроза хищения данных юзеров и рассылка им спама или иных действий на форуме от их имени.

Это вынужденная мера, прежде всего для Вашей безопасности, поэтому прошу отнестись к моим действиям с пониманием.

Спасибо.
подробнее можно почитать тут.
ссылки для браузера опера с сегодняшнего дня отображаются простым текстом и их нужно вручную копировать в адресную строку.
Хм... Я может что то не понимаю, но зачем эта мера?
Безопасность это хорошо, но браузер Опера имеет режим "Маскироваться под", где в графе под имеется и IE и Мозила.
При установке этого режима, ссылки вновь начинают работать (причем обрабатываются скрипты и ссылки по той же механике что и раньше).
Соответственно любому кто способен провести XSS-атаку, достаточно поставить 1 галочку в настройках оперы и спокойно заниматься своей идеей (согласитесь, для человека обладающего такими навыками это не сложно). И никакой мерой безопасности она не является (тут в таком случае надо все ссылки блокировать, для всех браузеров).
А вот обычным обывателям (которые тут просто книги читают) данная мера доставляет проблемы.
(13.10.2012 10:42)Wadim писал(а): [ -> ]Соответственно любому кто способен провести XSS-атаку, достаточно поставить 1 галочку в настройках оперы
вы не поняли механизм атаки.
1. размещается ссылка в посте.
2. пользователь оперы переходит по ней.
3. ссылка перемещает на страничку эксплоита с редиректом и скриптом, собирающим куки и сессии юзера.
4. скрипт-граббер заходит на форум под этими данными и делает от лица юзера что хочет - ворует адреса почты для баз спамеров, сам размещает спам от его лица, удаляет посты юзера и т.п.
5. на форуме крики и прочая паника.

со своей стороны я оградил юзеров оперы от этого, но если они хотят рубить сук, на котором сидят, то это их дело. считаете, что вас это не коснётся - ради бога, но не стоит говорить за все те 30% людей, заходящих на форум, что пользуются Оперой.
а неудобства временные, для версии оперы от 12.10 блокировка отключена. или же можете перейти на другой браузер.
(13.10.2012 10:54)RUSer писал(а): [ -> ]для версии оперы от 12.10 блокировка отключена
Кхм.... на данный момент у меня именно 12.10...... блокировка работает. Не критично(ишак в помощь), но обидно, однако.
поправил.

З.Ы. Извиняюсь за пустую страницу на 5 минут - инет оборвался в самый не подходящий момент.
URL ссылки