|
|
|
punkass88
Стаж: 15 лет 9 месяцев Сообщений: 50
|
punkass88 ·
26-Окт-12 21:00
(12 лет 11 месяцев назад)
Это не уязвимость, а баг. И он уже устранён в 12.10 билд 1642:
http://my.opera.com/desktopteam/blog/
|
|
|
|
-lexl-
Стаж: 15 лет 6 месяцев Сообщений: 33
|
-lexl- ·
26-Окт-12 21:30
(спустя 29 мин., ред. 26-Окт-12 22:19)
Теперь неплохо бы услышать, будет ли закрыто xss в старых версиях. Обновлением browser.js, (если это возможно решить таким образом, разумеется).
Хотя
Код:
if(location.protocol == 'data:')location.reload = function(){}
кажется работает.
На https://github.com/operasoftware/browserjs/tree/master/desktop скажем, browserjs-11.62.js был обновлён вчера.
|
|
|
|
punkass88
Стаж: 15 лет 9 месяцев Сообщений: 50
|
punkass88 ·
26-Окт-12 21:56
(спустя 26 мин.)
-lexl-
Она даже в 12.02 не закрыта, которую в данный момент качает куча народу с оф.сайта...
|
|
|
|
Svarog82
Стаж: 16 лет 11 месяцев Сообщений: 6
|
Svarog82 ·
26-Окт-12 21:57
(спустя 59 сек.)
|
|
|
|
Гость
|
Гость ·
26-Окт-12 22:12
(спустя 14 мин.)
Svarog82 писал(а):
55974200Не-а, всё равно редиректит
Не-а, не редиректит, и 39 уже не редиректила.
|
|
|
|
0mich0mich
Стаж: 15 лет 7 месяцев Сообщений: 1
|
0mich0mich ·
26-Окт-12 22:16
(спустя 4 мин.)
punkass88
От того, что ты дворника "оператором метлы" назовешь - на улице чище не станет.
Тут речь об поведение и отношение.
|
|
|
|
punkass88
Стаж: 15 лет 9 месяцев Сообщений: 50
|
punkass88 ·
26-Окт-12 23:13
(спустя 56 мин.)
Sunbow
Кто такой Шпаньков я узнал только сегодня, Оперу юзаю 7 лет. Вообще как-то пофиг) сижу на тестовых билдах, все фиксы ловлю максимально быстро.
|
|
|
|
ALEXXLEO
Стаж: 17 лет 3 месяца Сообщений: 13
|
ALEXXLEO ·
27-Окт-12 00:46
(спустя 1 час 33 мин.)
...а может это был уже и не Шпаньков ? 
|
|
|
|
Octagon31415
Стаж: 15 лет 6 месяцев Сообщений: 210
|
Octagon31415 ·
27-Окт-12 00:49
(спустя 3 мин.)
Saibos писал(а):
Вам же говорят - выйдет новая версия - БАГА ЭТОГО НЕ БУДЕТ - ЧТО НЕПОНЯТНО???
Мне НЕ ПОНЯТНО и чем больше оправданий - тем сильнее не понятно.
В СЛУЧАЕ ТАКОГО БАГА ВРЕМЯ НА ВЫПУСК НОВОЙ ВЕРСИИ - 6 ЧАСОВ. Period. Это, конечно, если есть желание сохранить лицо.
Сама идея ЛЮБОГО редиректа из фрейма или иного встроенного объекта есть безумие, Микрософт НЕ ВСЁ делает неверно, учитесь у песочницы Силверлайта (R.I.P.), если самим в этом столетии не мыслится чего то.
|
|
|
|
punkass88
Стаж: 15 лет 9 месяцев Сообщений: 50
|
punkass88 ·
27-Окт-12 01:26
(спустя 37 мин.)
Octagon31415
Баг не несёт в себе никаких деструктивных действий, просто редирект в необычном месте. В тестовой сборке уже поправлен.
|
|
|
|
madkite
Стаж: 15 лет 10 месяцев Сообщений: 96
|
madkite ·
27-Окт-12 03:39
(спустя 2 часа 12 мин., ред. 27-Окт-12 03:39)
Почитал комментарии, спор и захотелось сделать некоторые заключения.
Г-н Шпаньков, судя по всему, очевидно, является каким-то менеджером (представителем), но никак не разработчиком, потому всякие споры на техническую тему с ним бесполезны, пускай не в обиду ему будет сказано. Поначалу он пересказывал слова разработчиков о том, что редиректы, которы используют злоумышленники, не идут в разрез стандартам (что в принципе верно, пояснения по этому поводу будут ниже), а потом его посты свелись к тому, что никаких редиректов то и нет, и быть на рутрекере не может (а это уже, разумеется, неверно, и ему это объяснили). Но проблема есть, и заключается она, ИМХО, в следующем:
1. Несовершенство стандарта w3с. Как аргумент приводилась такая ссылка: http://www.w3.org/Graphics/SVG/WG/wiki/Features/SVG-as-image . Формально это вообще не стандарт, а страница вики с пояснениями, но там есть ссылка и на стандарт. Там попытались чётко формулировать требования, но всё не учли. Да, там сказано, что при загрузке svg из тега img браузер не должен выполнять скрипты и загружать данные с других доменов. Но ведь internet-shortcut в iframe - это же не скрипт! В стандарте определяется понятие скрипта [Script execution is the processing and application of procedural (as opposed to declarative) code and events]. Internet-shortcut сюда никак не попадает, он носит декларативный характер. Видимо это и имели ввиду разработчики Оперы, но это не смог донести г-н Шпаньков. По поводу данных с других доменов - в стандарте это понятие определяется так: An external reference is any link from the current file to another file for inclusion, rendering, or processing in the context of the current file. Редирект на другую страницу сюда с трудом можно отнести, т.к. данные с этой страницы не используются при рендеринге svg. Да и в любом случае страница эта может находится на сайте с тем же самым доменным именем, что и картинка (обычно даже так и есть - злоумышленник размещает и картинку, и фейковую страницу на одном сервере). Т.о. получается, что поведение Оперы в данном случае не идёт в разрез со стандартом. Но в то же время, судя по преамбуле, разработчики стандарта, наверно, не хотели бы такого поведения от браузера, но к сожелению не учли это в чётких требованиях.
2. Несовершенство браузера Opera (более политкорректной формулировки не придумал). Понятие бага/уязвимости немного субъективное, но это никак не просто несоответствие стандарту. Некорректно как-то говорить об отсутствии уязвимости, ссылаясь только на стандарт. Уязвимость - это более широкое понятие.
3. Политика админов рутрекера. На сайтах, где требуются повышенные меры безопастности, так просто не размещают в ответе клиенту img с src на что-то левое. Это само по себе уже небезопасно. Например, браузер не будет считать https-сайт защищенным, если он так будет делает. Но для данного ресурса это приемлемая политика - загружать себе все картинки и хостить их у себя слишком накладно. Да и, если загружать svg без конвертации или хотя бы валидации, то это не поможет. Потому к админам рутрекера претензий никаких.
|
|
|
|
bato1903
Стаж: 16 лет 3 месяца Сообщений: 33
|
bato1903 ·
27-Окт-12 04:10
(спустя 30 мин.)
Народ. а у меня вопрос. Что за фигня скачалась когда я пошел по данной ссылке?
http://rutr.life/bugs/opera/svg_redirect/test.jpg
пошел ради проверки
|
|
|
|
Ittadakimas
Стаж: 16 лет 8 месяцев Сообщений: 188
|
Ittadakimas ·
27-Окт-12 05:55
(спустя 1 час 45 мин.)
|
|
|
|
сморк
Стаж: 15 лет 2 месяца Сообщений: 225
|
сморк ·
27-Окт-12 11:38
(спустя 5 часов)
madkite
плюс те в карму
и всётки. спасение утопающих дело рук хозяев пляжа, а не производителей надувных плав-средств.
сколько бы проблем ушло, если б на img наложили ограничение только для "рекомендованных", проверенных сайтов (аж 4 штуки вроде). хочешь с другого хостинга - пожалуйста, в виде ссылки не запрещено.
раздули проблему до слонячьих размеров..
|
|
|
|
bullwinkle2010
Стаж: 15 лет Сообщений: 136
|
bullwinkle2010 ·
27-Окт-12 12:40
(спустя 1 час 1 мин.)
А я согласен со Шпаньковым, это не уязвимость Оперы, это уязвимость стандарта W3C, поэтому обвинять ее в чем-то глупо. Опера всегда славилась своей приверженностью к веб стандартам. И тут для нее стоял выбор, или остаться верной принципам или пожертвовать ими в пользу безопасности. Отсюда видимо и задержки с выпуском исправления. А пока Опера думала, админы сами должны были че-то соображать насчет безопасности и ни на кого не пенять.
И то что Файрфокс и другие браузеры выпустили эту заплатку раньше, ни о чем не говорит. Они так же имели полное право ничего не предпринимать, потому что проблема эта не их. Но безопасность важней, это понятно всем, и Опера, пусть последняя, но все-таки выпустила это исправление. И теперь к ней вообще никаких претензий быть не может. В конце концов уязвимость не такая уж критическая, можно было и потерпеть немного.
Вот в Windows почему-то никто не кричит, что поздно выпустили исправление, и количество жертв никто не считает. А была бы еще какая-нибудь Mindows, тоже бы говорили, а вот Mindows то уже выпустила исправление, а MS нет! Вывод: все познается в сравнении. А если кто-то и успел погореть на этом, то наверное стоит вспомнить сколько людей погорело на уязвимостях IE и других браузеров, которых у Оперы отродясь не было. Так что хорош гнать на Оперу, браузер отличный, а косяки и задержки случаются у всех.
|
|
|
|
-lexl-
Стаж: 15 лет 6 месяцев Сообщений: 33
|
-lexl- ·
27-Окт-12 13:20
(спустя 40 мин.)
madkite
Цитата:
Да и в любом случае страница эта может находится на сайте с тем же самым доменным именем, что и картинка (обычно даже так и есть - злоумышленник размещает и картинку, и фейковую страницу на одном сервере).
Нет. Svg почти везде запрещён, а замаскированную под jpg картинку нужно отдавать с нужными заголовками. Так что нужен свой сервер. Не было бы кроссдоменности, проблема была бы намного мягче и собственно рутрекер не затронула.
Цитата:
Но ведь internet-shortcut в iframe - это же не скрипт!
Но то что он делает, по стандарту может выполнить только скрипт, так что и ограничения на него должны накладываться ровно такие же.
Хотя я согласен, что нарушен в большей степени дух стандарта, чем его буква.
|
|
|
|
Гость
|
Гость ·
27-Окт-12 13:26
(спустя 5 мин.)
И все таки, к чему приехали? 
http://rutr.life/bugs/opera/svg_redirect/test.jpg
Так называемая исправленная Версия:12.10 beta Сборка: 1642 снова редиректит? Ночью она работала нормально. Никаких ковыряний в настройках не делалось.
http://youtu.be/IhCrtrbFz4w
|
|
|
|
-lexl-
Стаж: 15 лет 6 месяцев Сообщений: 33
|
-lexl- ·
27-Окт-12 13:32
(спустя 5 мин., ред. 27-Окт-12 13:40)
Marshall_EAG
А по прямой ссылке (и при вставке через embed, object, iframe) это разрешено стандартом. Это и на js кроссбраузерно (хотя, как оказалось хром к этому строже относится. но в опере и фоксе работает.) можно сделать. Вот так
Код:
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE svg PUBLIC "-//W3C//DTD SVG 1.1//EN"
"http://www.w3.org/Graphics/SVG/1.1/DTD/svg11.dtd">
<svg
xmlns="http://www.w3.org/2000/svg" version="1.0"
xmlns:xlink="http://www.w3.org/1999/xlink"
width="100" height="80">
<title>Вставка XHTML в SVG</title>
<foreignObject x="0" y="0" width="0" height="0">
<iframe xmlns="http://www.w3.org/1999/xhtml" src="javascript:top.location='http://ya.ru'"/>
</foreignObject>
</svg>
Пример: http://lexi.ucoz.ru/misc/test2.html
|
|
|
|
madkite
Стаж: 15 лет 10 месяцев Сообщений: 96
|
madkite ·
27-Окт-12 13:36
(спустя 3 мин., ред. 27-Окт-12 14:11)
-lexl-
Цитата:
Не было бы кроссдоменности, проблема была бы намного мягче и собственно рутрекер не затронула
В том, то и дело, что "кроссдоменность" - это различные доменные имена у сервера, с которого загружается svg, и сервера, к которому этот svg хочет обратится. Если злоумышленник заводит сервер с фейковым рутрекером, то ему несложно разместить svg там же. Но этого не требуется, потому как редирект - это не загрузка данных в контексте рендеринга svg.
Цитата:
по стандарту может выполнить только скрипт
Сомневаюсь, что в стандарте есть такие слова. Например, в html редирект помимо javascript-ом можно сделать ещё и с помощью meta-тега refresh и даже с помощью http заголовков. Так что, мы будем называть meta-теги или http заголовки скриптами?
Просто в стандарте попытались слишком чётко формулировать и у них плохо вышло.
|
|
|
|
Гость
|
Гость ·
27-Окт-12 13:37
(спустя 1 мин., ред. 27-Окт-12 18:50)
|
|
|
|
Murdek007
Стаж: 15 лет 1 месяц Сообщений: 72
|
Murdek007 ·
27-Окт-12 14:50
(спустя 1 час 12 мин., ред. 27-Окт-12 14:50)
bullwinkle2010 писал(а):
55982978А я согласен со Шпаньковым, это не уязвимость Оперы, это уязвимость стандарта W3C
А Шпаньков вообще не говорит что это уязвимость, говорит у них всё на мази, это так и должно быть, ну разве что баг несущественный)))
bullwinkle2010 писал(а):
поэтому обвинять ее в чем-то глупо.
Аккаунты угнаны только у пользователей Оперы, так что оправдывать оперу - ещё более глупо.
bullwinkle2010 писал(а):
Опера всегда славилась своей приверженностью к веб стандартам.
А от стандартов и не нужно было отходить, чтобы закрыть эту дыру. Просто эта ситуация в стандарте не была описана, ВООБЩЕ, поэтому оперовцы и не знали что делать (поскольку далее своего носа не видят).
bullwinkle2010 писал(а):
И тут для нее стоял выбор, или остаться верной принципам или пожертвовать ими в пользу безопасности.
А что за принципы? Со слов самого Шпанькова, ситуация в стандарте не была описана, поэтому они могли как пойти в пользу безопасности, не нарушая стандартов, так и в пользу дырявости, так же не нарушая стандартов. Опера выбрала путь дырявости.
bullwinkle2010 писал(а):
А пока Опера думала, админы сами должны были че-то соображать насчет безопасности и ни на кого не пенять.
Так никому даже и в голову не приходило, что имея несколько путей, найдётся какой-то браузер, который выберет НАИХУДШИЙ. Ведь думали, что там за кулисами каждого браузера сидят homo sapiens, но как выяснилось, Opera - исключение.
bullwinkle2010 писал(а):
И то что Файрфокс и другие браузеры выпустили эту заплатку раньше, ни о чем не говорит.
Говорит, и очень о многом. Особенно учитывая, что в опере вообще не считали нужным это исправлять, пока не поднялся кипиш.
bullwinkle2010 писал(а):
Они так же имели полное право ничего не предпринимать, потому что проблема эта не их.
Вот именно по этим вещам и выясняется, кто срать хотел на своих пользователей, а кто о них беспокоится.
Opera - срёт на своих пользователей.
IE, Firefox, Chrome, Safari и даже Яндекс - заботятся о нас.
bullwinkle2010 писал(а):
Но безопасность важней, это понятно всем...
Шпанькову и Ко не понятно.
bullwinkle2010 писал(а):
и Опера, пусть последняя, но все-таки выпустила это исправление.
С какой физиономией и после чего они это сделали, мы все знаем. Цитаты:
" Хотя это и правильно, разработчики браузера Опера, посовещавшись с владельцами сайтов и идя навстречу их просьбам, всё же отключат это в версии 12.1";
" И для того, чтобы взять часть этих проблем на себя - мы сделаем в браузере соответствующие изменения".
Снизошли до нас, несчастных, и чтобы мы здесь все не ныли, так и быть, они пожертвуют своим драгоценным временем, и выпустят нам эту заплатку  Хотя нет-нет, они не считают это заплаткой, они это называют, ИЗМЕНЕНИЯМИ))) Ведь чтобы выпустить заплатку, надо признать уязвимость, но несмотря на то, что у оперовцев уже все ляжки мокрые, на это они пойти категорически не могут, ведь после того, что наговорил всем Шпаньков, это будет уже стыдухой в тройне
bullwinkle2010 писал(а):
И теперь к ней вообще никаких претензий быть не может.
Да ну??  В стандарте ещё знаете сколько всего не описано, и если опера во всех случаях будет всегда идти по пути противоположному безопасности, то здесь уже будет попахивать о сговоре с хакерами
bullwinkle2010 писал(а):
В конце концов уязвимость не такая уж критическая, можно было и потерпеть немного.
Вы сами себе противоречите, то вы согласны со Шпаньковым, то про уязвимость какую-то пишете. Какую уязвимость? О чём Вы?))) "В опера уязвимости НЕТ" (© Шпаньков)
Ну а на сколько она не критическая, рассказывайте тем, кто лишился своих аккаунтов. Если браузер не выполняет одну из основных своих задач (обеспечение безопасности при веб-серфинге), зачем он тогда нужен, когда есть куча других, которые справляются со всеми своими задачами на отлично.
bullwinkle2010 писал(а):
Вот в Windows почему-то никто не кричит, что поздно выпустили исправление, и количество жертв никто не считает. А была бы еще какая-нибудь Mindows, тоже бы говорили, а вот Mindows то уже выпустила исправление, а MS нет! Вывод: все познается в сравнении.
Вот Вы и сами всё расставили на свои места. Всё познаётся в сравнении. На Windows никто не кричит, т.к. сравнивать не с чем. А вот оперу по этой ситуации уже все сравнили с нормальными браузерами, и выяснили, что опера это полная ****.
bullwinkle2010 писал(а):
то наверное стоит вспомнить сколько людей погорело на уязвимостях IE и других браузеров
Только самые неудачники могут себя так оправдывать: "А помните у него тоже....!!". Вот только другие браузеры при обнаружении уязвимости ПРИЗНАВАЛИ ЕЁ, ПРИНОСИЛИ СВОИ ИЗВИНЕНИЯ И В СРОЧНОМ ПОРЯДКЕ ЗАДЕЛЫВАЛИ ДЫРУ. Оперовцам же сначала несколько недель вдалбливали в голову, что у них ДЫРА, они её не признавали, после чего угнали миллионы аккаунтов через их дыру, и, так и не признав уязвимости в своём дырявом ПО, НЕХОТЯ выпустили свои "ИЗМЕНЕНИЯ". Вы всё ещё пользуетесь Opera? Тогда мы идём к Вам 
Ред. doc_ravik
Сообщения из этой темы были выделены в отдельный топик Фунтяра {+1 Пред}
Marshall_EAG
|
|
|
|
bullwinkle2010
Стаж: 15 лет Сообщений: 136
|
bullwinkle2010 ·
27-Окт-12 18:51
(спустя 4 часа, ред. 27-Окт-12 18:53)
Цитата:
Таким образом, для перехвата, например, авторизационных cookie, злоумышленнику необходимо всего лишь разместить ссылку на форуме или в комментариях целевого сайта. Эксплуатация происходит, когда пользователь переходит по этой ссылке.
Я не понял, чтобы аккаунт потерять, достаточно просто зайти на страницу с картинкой и все что-ли? Даже нигде логиниться не надо? 
|
|
|
|
Гость
|
Гость ·
27-Окт-12 18:52
(спустя 1 мин.)
bullwinkle2010 писал(а):
55989262Даже нигде логиниться не надо?
Надо, но вы же этого не делали?
Сообщения из этой темы были выделены в отдельный топик Выделено из: В браузере Opera уязвимости нет. Комментарии от Ильи Шпанькова [4228576]
Marshall_EAG
|
|
|
|
bullwinkle2010
Стаж: 15 лет Сообщений: 136
|
bullwinkle2010 ·
27-Окт-12 18:56
(спустя 3 мин., ред. 27-Окт-12 19:13)
Я исправил пост. Там написано, что перехватываются авторизационные кукисы, то есть я так понимаю, достаточно залогиниться один раз и перейти по ссылке и аккаунт ушел. Или это старая инфа (от 8 октября).
to Murdek007
Я не знаю че ответить. Врать не хочу. 
Хотя у меня был ответ, но мне тут уже запретом пригрозили, поэтому не рискну... Но в общем Диктатор прав, устраивать срач здесь не из чего.
|
|
|
|
Диктатор Великой Аравии
Стаж: 16 лет 7 месяцев Сообщений: 55
|
Диктатор Великой Аравии ·
27-Окт-12 18:59
(спустя 3 мин.)
Цитата:
Это откуда у Вас вдруг информация такая всплыла в голове?
http://habrahabr.ru/company/pt/blog/140849/, например.
Цитата:
Да я вообще никогда ни в какие настройки браузеров не залазию и залазить не собираюсь.
А пользуетесь вы, стало быть, IE. Даже устанавливать ничего не нужно: все уже есть, и странички показывает.
Цитата:
Если в автосалоне мне предложили бы бесплатно на выбор два автомобиля, Mercedes или Лада Калина, я бы выбрал Mercedes, а Вы, вероятно, Калину?
Если уж вы желаете сравнивать браузеры с автомобилями, то Опера — это Бэнтли, а не Калина.
Цитата:
Ну вобщем-то она и до этого им была)))
А здесь мы видим ничем не обоснованное субъективное мнение, выдаваемое за объективную и очевидную всем истину, а три скобочки ясно свидетельствуют о невменяемости оратора.
Цитата:
Только самые неудачники могут себя так оправдывать: "А помните у него тоже....!!".
Только самые неудачники тыкают на соломинку в чужом глазу, едва вытащив бревно из своего.
Цитата:
Вот только другие браузеры при обнаружении уязвимости ПРИЗНАВАЛИ ЕЁ, ПРИНОСИЛИ СВОИ ИЗВИНЕНИЯ И В СРОЧНОМ ПОРЯДКЕ ЗАДЕЛЫВАЛИ ДЫРУ.
Это вы об уязвимости Firefox 16? Признали он ее потому, что это была настоящая уязвимость, а не эксплойт, вызванный недоработкой веб-стандартов, халатностью веб-мастеров (в гугл-картинках, например, никаких перенаправлений нет) и необходимого элемента успешного фишинга — глупостью конечного пользователя (только идиот ничего не заподозрит, если ему предложат залогиниться на сайте, на котором он уже залогинен, при этом еще и поля для ввода логина и пароля не подсвечиваются, что сигнализирует о том, что в Опере не сохранен пароль от этого сайта). Почему же Opera до сих пор не выпустили критическое обновление? Видимо, они считают что, раз проблема устраняется одной галочкой в настройках, то с обновлением можно пока подождать, чтобы потом выпустить обновление с действительно значимыми изменениями. Довольно странное решение, но устраивать срач решительно не из чего.
|
|
|
|
Гость
|
Гость ·
27-Окт-12 19:08
(спустя 9 мин.)
Диктатор Великой Аравии писал(а):
55989415Довольно странное решение, но устраивать срач решительно не из чего.
Но тем не менее как минимум десяток юзеров решил пойти на суицид и отправится в баню, так велика была обида. Количество получивших запрет на сообщения не поддается исчислению. Писали бы сразу админам, как nnn007
Цитата:
Вы ***** люди, и Модераторы *****, и Админ *****, Весь ваш Рутрекере **** **** и всякой прочей ***** беспантовой! Опера ваша *****, Админ **** последняя *** на себя ответственность брать как **** *** гонит на Оперу!
|
|
|
|
svl63
Стаж: 15 лет 4 месяца Сообщений: 27
|
svl63 ·
27-Окт-12 19:10
(спустя 2 мин.)
Диктатор Великой Аравии писал(а):
55989415только идиот ничего не заподозрит, если ему предложат залогиниться на сайте, на котором он уже залогинен
Ради справедливости надо сказать, что бывают и такие параноидальные места, где есть несколько видов сессий одновременно.
|
|
|
|
bullwinkle2010
Стаж: 15 лет Сообщений: 136
|
bullwinkle2010 ·
27-Окт-12 19:15
(спустя 4 мин.)
Marshall_EAG писал(а):
55989609Но тем не менее как минимум десяток юзеров решил пойти на суицид и отправится в баню, так велика была обида. Количество получивших запрет на сообщения не поддается исчислению.
Во во!
|
|
|
|
-lexl-
Стаж: 15 лет 6 месяцев Сообщений: 33
|
-lexl- ·
27-Окт-12 20:03
(спустя 48 мин.)
madkite
Хм, я привык смотреть на кроссдоменность с точки зрения страницы, а тут похоже вы правы.
Цитата:
можно сделать ещё и с помощью meta-тега refresh
Собственно как и в svg (в <foreignObject>). И в "svg-as-image" он ровно также не работает.
В общем да, стандарту следовало быть полней/адекватней.
|
|
|
|
nick4fake
Стаж: 16 лет 10 месяцев Сообщений: 7
|
nick4fake ·
27-Окт-12 21:07
(спустя 1 час 3 мин., ред. 27-Окт-12 21:07)
Илья, ты или очень тупой, или очень упертый. Вот честно.
Тут же все просто. ДА, опера не перечит стандарту, но хотят они или нет - это уязвимость. По сути, даже возможность обычных редиректов - уязвимость, вот только пока ни один браузер от нее не может защитить (я имею в виду вставку левого скрипта). Эту уязвимость с картинками закрыть элементарно, иначе почему в других браузерах такого нет?
У оперы и так слабые позиции, так они еще так глупо отзываются о безопасности.
И еще. Такое впечатление, что некоторые комментаторы в этой теме ну специально пишут бредятину, только чтобы разжечь спор. Может хватит? Оставьте администрацию ресурса в покое они ничего с этим сделать не могут. Что, гугл-картинки не перенаправляют? Вы что, серьезно сравниваете возможности гугла и рутрекера? А идея с ограничениями - вы думаете, что это нормально - из-за уязвимости оперы разрешить вставлять картинки только с парочки сайтов?
|
|
|
|
