|
|
|
ulkoalex
Стаж: 17 лет Сообщений: 169
|
ulkoalex ·
26-Окт-12 12:03
(12 лет 8 месяцев назад, ред. 26-Окт-12 12:06)
Илья Шпаньков писал(а):
55962827Но ведь, как я понял, на Рутрекер нельзя загружать svg и даже давать ссылку на такой файл?
ничего на рутрекер загружать не надо! "картинка-скрипт" лежит на сервере злоумышленника, а на рутрекере нужно всего-лишь разместить <img> со ссылкой.
в этом и уязвимость! редикрект произойдет на странице с <img>
Илья Шпаньков писал(а):
55962827А при попытке загрузить svg в коммент кнопкой "загрузить картинку" сервер (fastpic) выдаёт ошибку:
"Загружено изображение (svg.svg) неизвестного формата."
какой фастпик? для размещения используется свой сервер, где есть и php и mod_rewrite и все что хотите
меня все еще терзают сомнения, вы это серьезно или так толсто троллите? 
|
|
|
|
-lexl-
Стаж: 15 лет 3 месяца Сообщений: 33
|
-lexl- ·
26-Окт-12 12:08
(спустя 5 мин., ред. 26-Окт-12 12:08)
Илья Шпаньков
Это просто пример как проверить на тупом хостинге без .htaccess/php. Уберёте тройку из ссылки, будет вам <img src="....svg.jpg">
Цитата:
А при попытке загрузить
Повторяю из ЛС
Цитата:
"Админы" этих ресурсов - злоумышленники и для них всё работает прекрасно. Обычные картинкохостинги svg не поддерживают, не говоря уже о том, что там нужно отдавать конкретный mime-тип.
ulkoalex
Цитата:
меня все еще терзают сомнения, вы это серьезно или так толсто троллите?
Похоже второе 
|
|
|
|
ulkoalex
Стаж: 17 лет Сообщений: 169
|
ulkoalex ·
26-Окт-12 12:20
(спустя 12 мин., ред. 26-Окт-12 12:20)
-lexl- писал(а):
55962925Похоже второе
вот и я так думаю. это наверное смешно, что 0-day дыра провисела в паблике пару недель, пострадала куча народу, а разработчики занимаются непойми чем?
|
|
|
|
punkass88
Стаж: 15 лет 6 месяцев Сообщений: 50
|
punkass88 ·
26-Окт-12 12:28
(спустя 7 мин.)
ulkoalex
Да текущая 12.02 на сайте до сих пор подвержена этому 0day, только что скачал и проверил. Украл свои куки)
3 недели уязвимость в паблике...
|
|
|
|
jcktor
Стаж: 16 лет 7 месяцев Сообщений: 47
|
jcktor ·
26-Окт-12 12:45
(спустя 16 мин., ред. 26-Окт-12 12:45)
Илья Шпаньков писал(а):
55961366
doc_ravik писал(а):
55960937Илья Шпаньков
Погодите. Неважно, кто как это называет (баг, уязвимость) - это будет исправлено?
Да, необходимые изменения уже внесены в ветку 12.1, в финале будет.
А по поводу будет ли исправлено в смысле сама проблема (или аналогичная) - под вопросом, т.к. наши специалисты считают, что проблема на стороне сайта и сайт не застрахован от подобных атак в дальнейшем.
Большая часть сайтов в интернете не проверяет адреса картинок и не застрахована от таких атак. Внимательно перечитайте https://rutr.life/forum/viewtopic.php?p=55957547#55957547
Каким нужно быть оптимистом, чтобы надеяться, что владельцы сайтов будут использовать недо-WAF? Не у всех есть ресурсы (как машинные, так и человеческие) на реализацию проверок. Даже если есть готовый WAF, его не каждый поставит и настроит.
Такие проверки в любом случае должны быть на стороне клиента.
|
|
|
|
ulkoalex
Стаж: 17 лет Сообщений: 169
|
ulkoalex ·
26-Окт-12 12:55
(спустя 10 мин., ред. 26-Окт-12 12:55)
jcktor писал(а):
55963584Даже если есть готовый WAF, его не каждый поставит и настроит.
а можно поинтересоваться, как WAF на атакуемом сайте защитит его от картинки в <img> , которая лежит совсем на другом сервере и грузится только клиентом? 
|
|
|
|
andmail
Стаж: 17 лет 5 месяцев Сообщений: 110
|
andmail ·
26-Окт-12 13:05
(спустя 9 мин.)
вина оперы только в том, что они они не учли "несовершенство" стандарта, как это сделали другие браузеры
|
|
|
|
Sed_Arcanist
Стаж: 15 лет 8 месяцев Сообщений: 74
|
Sed_Arcanist ·
26-Окт-12 13:37
(спустя 31 мин.)
Вшить в страницы, на которых отображаются картинки, загружаемые пользователями, скрипт, функцией которого будет определять content type (по техническим точкам) объектов, находящихся во внешних хранилищах (ресурсами машины пользователя), и если тип отличается от стандартных образцов (которые будут браться с сервера рутракера), то не исключать из конечной версии объект. Биты брать случайным образом из неизменной части файла, чтобы не началась война патчей. Запретить все типы объектов, кроме jpg и png. Что-то такое.) Хотя это потребует пересобрать половину движка рутракера.)
|
|
|
|
punkass88
Стаж: 15 лет 6 месяцев Сообщений: 50
|
punkass88 ·
26-Окт-12 13:41
(спустя 3 мин.)
-lexl- писал(а):
Здесь кукисы httpOnly, потому и не обсуждают. Да и исправили её в последних билдах.
Кукисы может и нельзя, а вот собрать базу мыл - вполне)
http://спам
Работает в Опере 12.02
Отредактировал Dark_Marshall
|
|
|
|
Гость
|
Гость ·
26-Окт-12 14:33
(спустя 52 мин.)
punkass88
И остальные господа, тут не испытательный полигон, не надо такими ссылками баловаться. Выясняйте подробности в ЛС.
|
|
|
|
ulkoalex
Стаж: 17 лет Сообщений: 169
|
ulkoalex ·
26-Окт-12 15:38
(спустя 1 час 4 мин., ред. 26-Окт-12 15:38)
Sed_Arcanist писал(а):
55964396Хотя это потребует пересобрать половину движка рутракера.)
ORLY? обычного клиентского жабоскрипта хватит, который аяксом проверяет левые картинки перед загрузкой и чекает content-type заголовок
только зачем эти грабли на рутрекере, если бока в самой опере?
Но давайте не отклоняться от темы. Так и не увидел комметарии Ильи Шпанькова по поводу этого
|
|
|
|
punkass88
Стаж: 15 лет 6 месяцев Сообщений: 50
|
punkass88 ·
26-Окт-12 15:48
(спустя 10 мин.)
ulkoalex
Редирект срабатывает раньше, чем скрипт 
|
|
|
|
ulkoalex
Стаж: 17 лет Сообщений: 169
|
ulkoalex ·
26-Окт-12 15:54
(спустя 5 мин., ред. 26-Окт-12 15:54)
punkass88 писал(а):
55966552ulkoalex
Редирект срабатывает раньше, чем скрипт
движком заменить src на data-src для левых картинок перед выводом, а потом уже скриптом чекать и для нормальных заменять обратно) а для ненормальных - заменять на страшный-страшный смайл
|
|
|
|
punkass88
Стаж: 15 лет 6 месяцев Сообщений: 50
|
punkass88 ·
26-Окт-12 15:57
(спустя 3 мин., ред. 26-Окт-12 15:57)
ulkoalex писал(а):
движком заменить src на data-src для левых картинок перед выводом, а потом уже скриптом чекать и для нормальных заменять обратно) а для ненормальных - заменять на страшный-страшный смайл
ну разве что) для 23% аудитории можно и сделать
http://www.li.ru/stat/rutr.life/browsers.html?period=month
Опера на 2 месте после хрома
|
|
|
|
ulkoalex
Стаж: 17 лет Сообщений: 169
|
ulkoalex ·
26-Окт-12 16:04
(спустя 6 мин., ред. 26-Окт-12 16:04)
хотя не, чисто скриптом не выйдет чекать, нарушение SOP  в общем
Цитата:
только зачем эти грабли на рутрекере, если бока в самой опере?
а 23% - очень много, если учесть что уязвим любой сайт, не только рутрекер. 23% от всего рунета - миллионы юзеров
|
|
|
|
punkass88
Стаж: 15 лет 6 месяцев Сообщений: 50
|
punkass88 ·
26-Окт-12 16:13
(спустя 9 мин.)
ulkoalex
Это в России её любят - 15%
http://www.liveinternet.ru/stat/ru/browsers.html?period=month
По миру меньше доля Оперы, примерно 1.6%
|
|
|
|
jcktor
Стаж: 16 лет 7 месяцев Сообщений: 47
|
jcktor ·
26-Окт-12 16:27
(спустя 13 мин., ред. 26-Окт-12 16:27)
ulkoalex писал(а):
55963731
jcktor писал(а):
55963584Даже если есть готовый WAF, его не каждый поставит и настроит.
а можно поинтересоваться, как WAF на атакуемом сайте защитит его от картинки в <img> , которая лежит совсем на другом сервере и грузится только клиентом?
Точно также, как waf пытается защитить от XSS, пытаясь найти сигнатуру атаки в присылаемых данных. Только тут за данными надо идти самому, а общая идея в проверке.
|
|
|
|
Гость
|
Гость ·
26-Окт-12 16:37
(спустя 9 мин.)
punkass88 писал(а):
55966978По миру меньше доля Оперы, примерно 1.6%
Нас это мало утешает, к сожалению, пока выйдет офф. обновление, пока все обновятся, а некоторые юзеры и этого не сделают, проблема будет висеть дамокловым мечом над нашими 23%.
Пусть разработчики тешатся, их право, но имечко они себе прилично обо.. изгадили. Вопрос можно было давно закрыть, но видимо решили приурочить к Великой Октябрьской, или не дай бог к ёлке.   Спрашивать с админа форума о сроках бесполезно, также бесполезно спрашивать его и технических деталях, ибо он не копенгаген, как и любой администратор такого уровня.
|
|
|
|
punkass88
Стаж: 15 лет 6 месяцев Сообщений: 50
|
punkass88 ·
26-Окт-12 16:45
(спустя 8 мин., ред. 26-Окт-12 16:45)
Marshall_EAG
Дак бесполезно делать что-то, нужно повесить детектор версии оперы и если она ниже 12.10, выдавать красное окно на весь экран с предупреждением или настоятельным требованием обновить)
Пойду на своих сайтах проверю запостченые ссылки...
|
|
|
|
ulkoalex
Стаж: 17 лет Сообщений: 169
|
ulkoalex ·
26-Окт-12 17:02
(спустя 17 мин., ред. 26-Окт-12 17:02)
jcktor писал(а):
55967119тут за данными надо идти самому,
ну сходите один раз на удаленный сервер, там окажется все ок , а завтра картинку заменят на вредоносную. ведь у хакера над своим сервером полный контроль.
или вообще будут детектить ваш сервер по ip или юзер агенту и выдавать ему нормальную, а юзерам - вредоносную.
и.т.д.
|
|
|
|
vyxaryx
Стаж: 18 лет 1 месяц Сообщений: 17
|
vyxaryx ·
26-Окт-12 17:19
(спустя 17 мин.)
Странно, редирект даже в "пофикшенной" Opera Next 1639. И так, и через img:
Код:
<html>
<body><img src=http://code.highspec.ru/svg/svg.jpg /></body>
</html>
|
|
|
|
punkass88
Стаж: 15 лет 6 месяцев Сообщений: 50
|
punkass88 ·
26-Окт-12 17:30
(спустя 10 мин., ред. 26-Окт-12 17:30)
vyxaryx
Это не пофикшено, там исправили только редирект через refresh в заголовке
А это через foreignObject, вставка всякой пакости в SVG.
В 12.10 обещают исправить к релизу, может и раньше в тестовых билдах.
Но это просто редирект, главное, что исправлена XSS, с ней простой редирект может превратиться в моментальную отправку приватных данных злоумышленникам.
|
|
|
|
Диктатор Великой Аравии
Стаж: 16 лет 4 месяца Сообщений: 55
|
Диктатор Великой Аравии ·
26-Окт-12 17:34
(спустя 4 мин., ред. 26-Окт-12 17:34)
С таким же успехом на Рутрекере могли бы разрешить пользователям загружать аватары неограниченного объема и писать сообщения с HTML и JavaScript, а все последствия от невинного расперекосячивания сайта, пикселей смерти и всплывающих окон до встроенных вирусов валить на Оперу, в которой-де уязвимость.
|
|
|
|
ulkoalex
Стаж: 17 лет Сообщений: 169
|
ulkoalex ·
26-Окт-12 17:39
(спустя 5 мин.)
Диктатор Великой Аравии
нифигажсебе cравнили, разрешить юзерам постить картинки и разрешить постить JavaScript
без последнего можно (и нужно) прожить, без первого - welcome to 1985й год
|
|
|
|
jcktor
Стаж: 16 лет 7 месяцев Сообщений: 47
|
jcktor ·
26-Окт-12 17:41
(спустя 1 мин.)
ulkoalex, я все понимаю и полностью согласен, что это сложно решать со стороны сайта
|
|
|
|
arthur_veber2
Стаж: 16 лет 7 месяцев Сообщений: 328
|
arthur_veber2 ·
26-Окт-12 18:42
(спустя 1 час 1 мин.)
возможно я не о том, но при заходе на http://rutr.life/bugs/opera/svg_redirect/test.jpg
Сhrome скачивает какой то txt файл, а IE пишет потом что не может там что-то отобразить... ))
|
|
|
|
Гость
|
Гость ·
26-Окт-12 18:47
(спустя 4 мин.)
arthur_veber2
Ну так тест для оперы, а в в него с балетом.
|
|
|
|
-lexl-
Стаж: 15 лет 3 месяца Сообщений: 33
|
-lexl- ·
26-Окт-12 19:17
(спустя 29 мин.)
|
|
|
|
Гость
|
Гость ·
26-Окт-12 19:28
(спустя 10 мин.)
-lexl- писал(а):
55970541кажется всё.
Версия:
12.10 beta
Сборка:
1642
|
|
|
|
CeyT
Стаж: 17 лет 3 месяца Сообщений: 78
|
CeyT ·
26-Окт-12 20:17
(спустя 49 мин.)
Это позор. Понятно, что речь идёт уже не про сам баг, а про необходимость позитивного пиара Оперы ввиду внезапно появившихся на крупных форумах тревожных предупреждений, но объяснения, всё равно, — позор.
Какие, к чёрту, «стандартная обработка тега <img>» и «неумение владельцев сайта», когда Опера автоматически открывает содержимое, полученное из интернета с типом application/internet-shortcut так, как будто это локальный файл, загруженный пользователем в основное окно? Ошибка того же уровня, что и легендарное обращение веб-страницы к дискете в доисторические времена. Всё, что требовалось — выпустить минимальное обновление, меняющее это поведение для всех не локальных данных. Я уверен, что во всём интернете не найдётся сервера, отсылающего .url-файлы с целью легальной переадресации пользователя куда-либо, даже самый криворукий автор не додумается до такого (не говоря уж об отсутствии данного MIME-типа в стандартных конфигурациях Apache и IIS и неработоспособности в других браузерах).
Предложение проверять ссылки на сервере технически невыполнимо, если не брать крайний вариант кэширования всего внешнего содержимого на сервере в момент изменения HTML и запрета внешних ссылок вообще. Это даже не Веб 1.0, это тотальный локалхост какой-то. Вконтактик до чего-то похожего дошёл, но там понятно: социальная сеть стремится заменить для хомячков собой интернет целиком, ей простительно. Ну, а высказывание «браузер не занимается созданием песочниц» попросту не соответствует действительности (если не сказать хуже): всю свою историю браузеры двигались от всеобщего разброда и шатаний к более и более жёсткой верификации, что можно, а что нельзя. Загрузить в качестве элемента страницы файл подкачки или вызвать "format c:" не получится ни в какой комбинации HTML-элементов. Более того, пользователь ожидает, что это будет невозможно, так же, как администратор любого сайта ожидает, что вставка внешнего элемента в теге <img> не будет иметь никаких последствий, кроме запроса и отображения картинки. Иначе зачем нужно деление на несколько тегов, когда всё — от картинок и скриптов до HTML-страниц и плагинов — можно пихать в <object> и снимать с себя всякую ответственность? HTML5, кстати, построен на избавлении от неясности поведения и результата от начала и до конца, почитайте описание тега <img>, очень интересные фразы встречаются. Если «User agents must not support non-image resources with the img element» — это «недокументированная обработка», то какой должна быть «документированная»?
Как пользователю Оперы с девятьсот пятого года, мне стыдно от таких комментариев специалиста.
|
|
|
|
