|
|
|
Л. М. Гога
Стаж: 16 лет 11 месяцев Сообщений: 19311
|
Л. М. Гога ·
23-Окт-12 20:43
(13 лет назад)
Боримир
Взгляните себе в подпись и успокойтесь уже.
|
|
|
|
Илья Шпаньков
Стаж: 13 лет Сообщений: 63
|
Илья Шпаньков ·
23-Окт-12 20:52
(спустя 8 мин., ред. 23-Окт-12 20:52)
Хихикмен писал(а):
55918387
Илья Шпаньков писал(а):
55917063В прошлую среду баг был исправлен и войдёт в Opera 12.1,
А в 12.10 он войдёт на которой я и многие сижу, а?
Ибо у вас 12.02 и 12.10 как то параллельно развиваются и скачиваются на
Опера.ком по разным ссылкам.
Войдёт в мою ?
скрытый текст
Информация о версии
Версия: 12.10 beta RC
Сборка: 1620
Платформа: x64
У вас бета-версия, которая уже была выпущена. Исправления войдут в финальную 12.1.
-lexl- писал(а):
55918397
Илья Шпаньков писал(а):
55917063В прошлую среду баг был исправлен и войдёт в Opera 12.1, релиз которой скоро будет объявлен.
Позвольте полюбопытствовать - следует ли из этого, что на второй баг, который про application/internet-shortcut, будет забито?
Этот баг тоже исправлен неделю назад, войдёт в финал 12.1.
|
|
|
|
Хихикмен
Стаж: 17 лет 2 месяца Сообщений: 4379
|
Хихикмен ·
23-Окт-12 20:57
(спустя 5 мин.)
Илья Шпаньков писал(а):
55918834У вас бета-версия, которая уже была выпущена.
Я знаю что Бета, сам это выше написал.
Илья Шпаньков писал(а):
55918834Исправления войдут в финальную 12.1.
Я вот не понимаю, 12.1 - это Опера Некст, или это просто старая Опера .
И 12.1 она будет старше 12.02 и 12.10?? - или ноль два и десять-бета разные вещи? Мне б понять, где уязвимость точно вылечат и чё себе ставить. 12.10 на мой взгляд раза в три быстрее чем 12.02, а вот будут ли 12.10 исправлять?
|
|
|
|
mius
Стаж: 17 лет 6 месяцев Сообщений: 31
|
mius ·
23-Окт-12 21:00
(спустя 2 мин., ред. 23-Окт-12 21:00)
На рутрекере , тьфу-тьфу, пронесло, но только что какая-то хрень с требованием номера телефона началась на Лосфильме. Оно же ?
|
|
|
|
Plunge
Стаж: 17 лет 6 месяцев Сообщений: 48
|
Plunge ·
23-Окт-12 21:06
(спустя 6 мин.)
"Лето 2012-го началось весьма интересно для хакерских кругов. Украли 2 крупных базы данных с паролями. У Riot Games и LinkedIn увели около 32-х миллионов и 6,5 миллионов аккаунтов соответственно." (с) http://hacker-lab.com/hack/134-massovye-vzlomy-paroley-kto-zhe-vinovat.html
Нужно как-то аккуратней с выбором офиц.представления профиля 
|
|
|
|
Илья Шпаньков
Стаж: 13 лет Сообщений: 63
|
Илья Шпаньков ·
23-Окт-12 21:08
(спустя 1 мин.)
Хихикмен писал(а):
55918952
Илья Шпаньков писал(а):
55918834У вас бета-версия, которая уже была выпущена.
Я знаю что Бета, сам это выше написал.
Илья Шпаньков писал(а):
55918834Исправления войдут в финальную 12.1.
Я вот не понимаю, 12.1 - это Опера Некст, или это просто старая Опера .
И 12.1 она будет старше 12.02 и 12.10?? - или ноль два и десять-бета разные вещи? Мне б понять, где уязвимость точно вылечат и чё себе ставить. 12.10 на мой взгляд раза в три быстрее чем 12.02, а вот будут ли 12.10 исправлять?
12.10 и 12.1 - это одна и та же версия по нумерации. У вас бета-версия, скоро выйдет финал.
|
|
|
|
ulkoalex
Стаж: 17 лет 3 месяца Сообщений: 169
|
ulkoalex ·
23-Окт-12 21:08
(спустя 33 сек.)
Илья Шпаньков писал(а):
55917063Вот немного разъяснений с нашей стороны.
Некто M_script https://twitter.com/mscript_ обнаружил баг с обработкой ссылок определённого вида
так речь идет про совсем другую уязвимость - обработка refresh хэдэра в svg+xml содержащем internet-shortcut
http://blog.volema.com/opera-svg-xml-shortcut-uxss.html
Цитата:
The vulnerability was reported to Opera Software, but they decided this is not a security bug and refused to patch it urgently.
Илья Шпаньков писал(а):
55917063За это время описание бага расползлось по интернету, как нашему, так и иностранному. Благодаря опубликованным инструкциям появились и любители проверить бдительность пользователей
описания багов с описаниями способов защиты стали появляться уже после того как багу начали активно юзать, ведь от вас никакой реакции не было недели две минимум. 
|
|
|
|
Илья Шпаньков
Стаж: 13 лет Сообщений: 63
|
Илья Шпаньков ·
23-Окт-12 21:09
(спустя 46 сек.)
У меня просто нет другого профиля, где бы место работы указывалось 
|
|
|
|
datafck
Стаж: 17 лет 6 месяцев Сообщений: 864
|
datafck ·
23-Окт-12 21:09
(спустя 17 сек.)
Илья Шпаньков
Можете порекомендовать какую-нибудь из старых версий Оперы? Или эта "уязвимость" есть во всех?
Пользуюсь 9 и 10 версиями Оперы на старом компе.
|
|
|
|
-lexl-
Стаж: 15 лет 7 месяцев Сообщений: 33
|
-lexl- ·
23-Окт-12 21:14
(спустя 4 мин., ред. 23-Окт-12 21:21)
Илья Шпаньков
А кстати. «Data:-урлы и так наследуют домен в опере.» Это дело решено записать в фичи?
datafck
Выше 9.27 есть везде (во всех основных версиях, по крайней мере). Но «application/internet-shortcut» в любом случае придётся настраивать.
ulkoalex
На https://rdot.org/forum/showthread.php?p=29035#post29035 более внятное описание вопроса.
|
|
|
|
Илья Шпаньков
Стаж: 13 лет Сообщений: 63
|
Илья Шпаньков ·
23-Окт-12 21:18
(спустя 4 мин., ред. 23-Окт-12 21:18)
ulkoalex писал(а):
55919209
Илья Шпаньков писал(а):
55917063Вот немного разъяснений с нашей стороны.
Некто M_script https://twitter.com/mscript_ обнаружил баг с обработкой ссылок определённого вида
так речь идет про совсем другую уязвимость - обработка refresh хэдэра в svg+xml содержащем internet-shortcut
http://blog.volema.com/opera-svg-xml-shortcut-uxss.html
Цитата:
The vulnerability was reported to Opera Software, but they decided this is not a security bug and refused to patch it urgently.
Илья Шпаньков писал(а):
55917063За это время описание бага расползлось по интернету, как нашему, так и иностранному. Благодаря опубликованным инструкциям появились и любители проверить бдительность пользователей
описания багов с описаниями способов защиты стали появляться уже после того как багу начали активно юзать, ведь от вас никакой реакции не было недели две минимум.
Баги разные - с редиректом и с internet-shortcut. И у нас в BTS они идут под разными номерами. И оба уже исправлены.
Первые сообщения о багах с редиректом в сети появились 5 октября, в этот же день был прислан и баг-репорт. До этого времени никто ничего нам не сообщал.
Баг с шорткатами известен с 21 сентября 2012 года, критичность была определена как средняя.
datafck писал(а):
55919235Илья Шпаньков
Можете порекомендовать какую-нибудь из старых версий Оперы? Или эта "уязвимость" есть во всех?
Пользуюсь 9 и 10 версиями Оперы на старом компе.
Могу порекомендовать просто быть внимательным при работе в сети - проверять, тот ли адрес указан в адресной строке, не отправлять смс-ок и не "восстанавливать" пароли по запросу со стороны. Обычные правила сетевой гигиены вполне достаточны, чтобы не попасться на уловку жуликов.
|
|
|
|
zoltrex
Стаж: 14 лет 7 месяцев Сообщений: 444
|
zoltrex ·
23-Окт-12 21:31
(спустя 13 мин., ред. 23-Окт-12 21:31)
Насчет Шпанькова не сомневаюсь.Это его подчерк. Бываю на официальном форуме Оперы русском. http://my.opera.com/russian/forums/Илья Шпаньков Отдельное спасибо вам за ссылку там, на настройки по убийству флеш рекламы.
А насчет мошеничества с доменами, если включено автозаполнение логина при входе, то оно должно исключаться. Так как оно запоминает домен второго уровня и выше, и на других просто напросто работать не будет. Странно, что это в советах не написали.
|
|
|
|
Задорная
Стаж: 16 лет Сообщений: 120
|
Задорная ·
23-Окт-12 21:37
(спустя 6 мин.)
А что дают эти отключения автоматического перенаправления?Устраняют угрозу?
И на других сайтах из-за этого будут какие-то неудобства?
|
|
|
|
-lexl-
Стаж: 15 лет 7 месяцев Сообщений: 33
|
-lexl- ·
23-Окт-12 21:46
(спустя 8 мин., ред. 23-Окт-12 21:46)
zoltrex
И как же образом? Залогинились вы на сайте, получили с картинки редирект налево и отдали там свои кукисы. Всё.
Задорная
Цитата:
А что дают эти отключения автоматического перенаправления?Устраняют угрозу?
Да избавляют от первой уязвимости.
Для второй нужно поставить для "application/internet-shortcut" показ диалога загрузки.
О чём и написано в первом посте.
Цитата:
И на других сайтах из-за этого будут какие-то неудобства?
Будут. Подтверждать придётся.
Сообщения из этой темы были выделены в отдельный топик Выделено из: Угон аккаунтов. Будьте внимательны! [4220697]
doc_ravik
Сообщения из этой темы были выделены в отдельный топик mix6219
Л. М. Гога
|
|
|
|
Korsar1977
Стаж: 19 лет Сообщений: 231
|
Korsar1977 ·
23-Окт-12 21:54
(спустя 8 мин.)
Подскажите пожалуйста, правильно ли понимаю, что предложение Plunge насчет SVG - формата дополняет Вариант 2 в "шапке" этой темы (будет ли это временной защитой от обеих уязвимостей) ?
Можно ли менять эти настройки одновременно?
Ну и вопрос на будущее: надо ли их возвращать в исходное состояние после выхода исправлений?
Всей команде техподдержки - большое спасибо за Вашу работу и терпение!
|
|
|
|
doc_ravik
Стаж: 15 лет 2 месяца Сообщений: 12491
|
doc_ravik ·
23-Окт-12 22:00
(спустя 5 мин.)
Korsar1977 писал(а):
55920187правильно ли понимаю, что предложение Plunge насчет SVG - формата дополняет Вариант 2 в "шапке" этой темы (будет ли это временной защитой от обеих уязвимостей) ?
Да, дополняет. Перебрасывать не будет - появится диалоговое окно, нажмете Отмена и вернетесь на страницу трекера.
Korsar1977 писал(а):
55920187Можно ли менять эти настройки одновременно?
Да.
|
|
|
|
zoltrex
Стаж: 14 лет 7 месяцев Сообщений: 444
|
zoltrex ·
23-Окт-12 22:21
(спустя 21 мин., ред. 23-Окт-12 22:21)
-lexl- писал(а):
55919940zoltrex
И как же образом? Залогинились вы на сайте, получили с картинки редирект налево и отдали там свои кукисы. Всё.
Тот же Шпаньков уже наверно устал обновлять список фальшивых сайтов по сигналам юзеров на форуме.
И тысячи подделок мошеников есть для любого известного портала.
Способ автоввода сильно уменьшает вероятность получения вашего пароля при ручном вводе, не только на фальшивых сайтах рутрекера, но и других сайтах подделках, которых миллион уже наверно.
|
|
|
|
Plunge
Стаж: 17 лет 6 месяцев Сообщений: 48
|
Plunge ·
23-Окт-12 22:44
(спустя 22 мин.)
Korsar1977
мне известно только про проблемы с svg, который и совершает перенаправление через url. на мой взгляд, достаточно одного ( url или svg). О какой второй "уязвимости" идет речь я не знаю, ничё не советовал.
если очень страшно, то можно использовать все три способа + можно открыть приватную вкладку(ссылку на блог давал ulkoalex. тестил, приват тоже решает, но сеанс не завершается, хотя открытых конектов нет. видимо Refresh часики крутит)
|
|
|
|
m0nax3
Стаж: 18 лет 2 месяца Сообщений: 209
|
m0nax3 ·
23-Окт-12 22:46
(спустя 1 мин.)
простой вопрос
как вернуть в опере нормальное отображение картинок?
задолбало уже, не надо всех равнять под безмозглых блондиок которые не понимают где они находятся и куда отправляют свои пароли
|
|
|
|
doc_ravik
Стаж: 15 лет 2 месяца Сообщений: 12491
|
doc_ravik ·
23-Окт-12 22:50
(спустя 4 мин., ред. 23-Окт-12 22:50)
m0nax3
Картинки видимо были на нерекомендуемом хостинге. Читайте выше - представитель Оперы пообещал исправления бага. Ждем.
|
|
|
|
drossor
Стаж: 16 лет 11 месяцев Сообщений: 172
|
drossor ·
23-Окт-12 22:52
(спустя 2 мин.)
Надеюсь вся эта шумиха повлияет на отток пользователей Оперы и ударит по карману разрабам.
По-моему это самый действенный способ стимуляции работников. А то понимаешь им нашли дыру, тыкнули, и при этом ещё и виноваты оказались, что информация утекла раньше запланированного апдейта.
Если б не сила привычки давно бы уже слез с Оперы. А пока приходится мучаться с постоянным подтверждениме перенаправления.
P.S.: Здесь кто-то писал, что с этими уязвимостями можно и по-страшнее вещи делать.
Если я вхожу строго через автозаполнение пароля, и СМСки никуда не отправляю, обязательно ли проделывать эти манипуляции описаные в первом сообщении?
|
|
|
|
Saibos
Стаж: 16 лет 8 месяцев Сообщений: 3401
|
Saibos ·
23-Окт-12 22:56
(спустя 4 мин.)
Илья Шпаньков
Илья Шпаньков писал(а):
55917514Скоро. Точной даты мы никогда не называем.
Вы представитель серьёзной организации, а пишете как сотрудник вышедший в первый день на роботу.
Представителя (своего любимого браузера) хотел бы видеть более профессиональным.
|
|
|
|
Л. М. Гога
Стаж: 16 лет 11 месяцев Сообщений: 19311
|
Л. М. Гога ·
23-Окт-12 23:00
(спустя 3 мин.)
Илья Шпаньков
Если всё уже исправлено, чего ещё ждать? Такие вещи надо сразу закрывать. Уже куча народа залетела из-за этих уязвимостей.
|
|
|
|
Илья Шпаньков
Стаж: 13 лет Сообщений: 63
|
Илья Шпаньков ·
23-Окт-12 23:05
(спустя 4 мин., ред. 23-Окт-12 23:08)
Saibos писал(а):
55921420Илья Шпаньков
Илья Шпаньков писал(а):
55917514Скоро. Точной даты мы никогда не называем.
Вы представитель серьёзной организации, а пишете как сотрудник вышедший в первый день на роботу.
Представителя (своего любимого браузера) хотел бы видеть более профессиональным.
Можете задать вопрос о сроках выхода новой версии любому сотруднику, вплоть до директора. Получите точно такой же ответ. У нас так заведено.
Л. М. Гога писал(а):
55921462Илья Шпаньков
Если всё уже исправлено, чего ещё ждать? Такие вещи надо сразу закрывать. Уже куча народа залетела из-за этих уязвимостей.
1. Это не уязвимость как таковая, а обычный баг. Баг не единственный, мы как правило исправляем десятки багов к каждому релизу. Новая версия выйдет, когда все запланированные к исправлению баги будут устранены.
2. Куча народа залетела по собственной невнимательности. Повторю, что это баг, а не уязвимость, её даже нет в списке у экспертов по безопасности: http://secunia.com/advisories/search/?search=opera
|
|
|
|
Saibos
Стаж: 16 лет 8 месяцев Сообщений: 3401
|
Saibos ·
23-Окт-12 23:07
(спустя 2 мин.)
Илья Шпаньков
Везде заведено не так (монолог)
Ок.
Мы верим в Вас и давайте по серьёзней - после этого случая
|
|
|
|
Гость
|
Гость ·
23-Окт-12 23:13
(спустя 5 мин.)
Saibos
Не спугни.
|
|
|
|
Л. М. Гога
Стаж: 16 лет 11 месяцев Сообщений: 19311
|
Л. М. Гога ·
23-Окт-12 23:14
(спустя 1 мин., ред. 23-Окт-12 23:14)
Илья Шпаньков писал(а):
55921552по собственной невнимательности
Ну, о чём вы говорите? Разве вы не знаете, что огромная часть пользователей не знает толком даже, что такое адресная строка и что ней должно находиться? Не все подкованы в плане безопасности.
|
|
|
|
doc_ravik
Стаж: 15 лет 2 месяца Сообщений: 12491
|
doc_ravik ·
23-Окт-12 23:27
(спустя 12 мин.)
microns
На других браузерах такой проблемы нет. Выше представитель Оперы признал наличие бага.
|
|
|
|
Papant
Стаж: 18 лет 2 месяца Сообщений: 57925
|
Papant ·
23-Окт-12 23:28
(спустя 43 сек.)
Просьба придерживаться уважительной формы общения и не переходить на личности.
Сообщения из этой темы были выделены в отдельный топик Проходите
Marshall_EAG
|
|
|
|
microns
Стаж: 13 лет 5 месяцев Сообщений: 35
|
microns ·
23-Окт-12 23:49
(спустя 21 мин., ред. 23-Окт-12 23:52)
Можете сказать причину удаления моих ПОСТОВ.
Я не ОБВИНЯЮ.
только мысли
Кстати чем RUTRECKER плох как платформа O -deys инфекций распространения.
Можно подумать такого сценария не может быть,а людям смайлы вставили чисто поржать над лохами.
Технически трудно доказать будь это так,зато вполне услуга на черном рынке - нЕ?
Говорю это смеясь.ну вы понимаете.
У меня есть реальные доказательства что редиректы были на сайты с вредоносными скриптами.да это не важно
|
|
|
|
