Пользователь
0,0
рейтинг
26 октября 2012 в 18:37

Разработка → Опера не спешит закрывать уязвимость? recovery mode

Если вы считаете, что знакомы с языком HTML и принципами работы браузеров, попробуйте прямо сейчас ответить для себя на вопрос — может ли картинка вставленная через тег IMG сделать редирект той странице, на которой она вставлена? Странный вопрос, скажете Вы. Тем не менее ответ на него не такой однозначный «нет», как кажется на первый взгляд. В браузере Опера это возможно, что даёт огромное поле деятельность по угону пользовательских аккаунтов, особенно с учетом того что уязвимость до сих пор не закрыта. А по заявлениям компании Опера — будет оставаться незакрытой еще неопределенное время.

Что представляет из себя уязвимость, а также официальное мнение Оперы на этот счет — под катом.
(Пользователи Оперы должны быть готовы к редиректам при открытии поста, т.к. в комментариях решили проверить уязвимость)

В начале октября была обнаружена уязвимость в браузере Опера 12, которая позволяет через вставленную картинку и определенным образом отданные заголовки для нее перенаправлять посетителя на другой сайт. Атаке через эту уявзимость успели подвергунться крупнейшие сайты рунета, позволяющие вставлять картинки через УРЛ (например, rutracker — ссылка). Сайты, поддержкой которых занимаюсь я сам также были атакованы.

Как работает


Если в коде открываемой странице злоумышленник может разместить тэг вида:

(где evil.com подконтрольный ему сервер)
и отдать при запросе evil.com/evil.png следующие заголовок:

Refresh: 0; url=data:application/internet-shortcut,[INTERNETSHORTCUT]%0D%0AURL=http://evil.com/

то браузер Опера не спросив и не предупредив пользователя, совершит переход по этому адресу.

А уже там может быть что угодно, начиная от формы ввода логина и пароля в оформлении атакуемого ресурса. В случае с моими сайтами — требовали ввести свой номер телефона (так и не понял, зачем им это было нужно).

Подвержены все сайты, которые позволяют пользователям вставлять свои картинки через УРЛ, а это возможно практически везде, начиная с форумов на phpbb, ЖЖ, Хабрахабра (!) и заканчивая письмами в mail.ru (где картинки в письме загружаются по умолчанию).

Официальный ответ Opera


В диалоге представителя Opera в России Ильи Шпанькова (shpankov) и администрации rutracker.org прозвучли следующие заявления:
«Как выяснилось, в Opera уязвимости нет и проблема не является результатом ошибок в браузере, но совместно с разработчиками Opera мы нашли решение, как избежать подобных проблем в дальнейшем, и это решение будет применено в ожидаемой скоро новой версии Opera 12.1»

А также привел слова технических специалистов Opera Software:
«У нас в Opera принято помогать сайтам, даже когда они делают что-то неправильно. Поэтому в Opera 12.10 мы отключим следование шорткатам в контенте, загружаемом внутри тега . Это именно то, что согласно ожиданиям веб-сайта должен делать браузер, хотя на самом деле такое поведение не описывается ни одним стандартом. Таким образом, мы сделаем то, что они хотят, очень скоро.»

Выводы


Представитель Опера, похоже, или совсем не понимает что такое безопасность браузера и не видит явной угрозы которую представляет данный баг. Или пытается сделать хорошую мину при плохой игре, т.к. лично от него врядли что-то зависит и ускорить исправление данного бага он не в силах, поэтому пытается сохранить лицо браузера в этой непростой ситуации.
Мне кажется, что человека, совсем уж ничего не понимающего в работе браузеров, не стали бы брать на такую должность, поэтому более чем уверен что его поведение идёт согласно второго сценария.

Что же касается ситуации в целом, то всё очень и очень грустно. Браузер Опера на данный момент занимает в РуНете порядка 15%, при этом открыто заявляется что «проблемы негров шерифа не волнуют» и переадресация сайтов черт знает куда без ведома пользователя «уязвимостью не является».
Явные же проблемы пользователей, разработчики почему то называют проблемами «владельцев сайтов». Хотя их продуктом пользуются не владельцы сайтов, а люди, чью личную информацию браузер Опера подвергает опасности.

Да, они заявляют что уязвимость будет исправлена в следующем релизе браузера (12.10 stable?), но не называют конкретных сроков ее релиза. А тем временем любой — даже не хакер — любой вообще человек, воспользовавшись информацией об этой уязвимости (опубликованной на днях на РуТрекере), может причинять реальные проблемы и страдания пользователям этого браузера.
squint @squint
карма
0,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (130)

  • 0
    Надо бы, количество посещений на паре сайтов поднять) сорри, шучу.
  • +24
    Ну что, попробуем?
    • +8
      Пользуюусь Оперой. Никуда не перенаправило.
      • +2
        > Пользуюусь Оперой. Никуда не перенаправило.

        А сейчас? image
        • –5
          Нулевой эффект
          12.50 internal / 1583
          • +7
            > уязвимость исправлена в следующей версии браузера 12.10
            > 12.50 internal
            facepalm.jpg
            • –7
              • 0
                > x64
                Интересно было проверить этот момент.
                // Надеюсь application/internet-shortcut у вас не переключен, иначе не честно :)
                • +1
                  image
              • +3
                Вы наверное считаете, что я вам не поверил, что у вас версия 12.50. Однако же нет. Я удивлен тем, что в топике ясно написано что в следующей версии баг пофиксиили, а вы все равно пытаетесь воспроизвести его в ней. И да, я знаю, что 12.50 переименовали в 12.10.
                • 0
                  В 12.10 beta Сборка: 1639 не пофикшено. См. rutracker.org/forum/viewtopic.php?t=4228576&start=30
                  • 0
                    Нет смысла говорить об интернальной сборке Оперы. Там могут быть применены любые патчи, еще не вышедшие в паблик.
                    • 0
                      Скачал 32-битную версию. Редиректит на яндекс. И в ней работает уязвимость с XSS на любых сайтах.
                      • 0
                        Так что либо дело в битности, либо в каких-то настройках/блокерах.
                        Скачать можно здесь: arc.opera.com/snapshot/windows/Opera-Next-12.50-1583.x64.exe
                        • 0
                          Дело не в битности, у меня на x64 1639 редирект прекрасно сработал.
                          • 0
                            Понятно, спасибо за информацию.
                        • +1
                          Скачал, установил. Не помогло, редирект происходит. Поставил в настройках на application/internet-shortcut вывод диалога загрузки, хотя не очень удобно, но уязвимость закрывает. Впрочем, крайне неприятно, что компания, выпускающая мой любимый браузер не пофиксила этот баг в течении пары дней после его обнаружения.
                • +1
                  Тогда я вынужден извиниться по 2 пунктам:
                  *Не дочитал о том, что баг уже пофиксили.
                  *He знал о переименовании 12.50 в 12.10 (ссылкой не поделитесь?).
        • +1
          12.10.1639
          Редиректит на ya.ru, хотя уверяли, что пофиксили.
          • +1
            В 1642 пофиксили.
    • +6
      Интересно, если несколько таких картинок на одной странице, куда броузер перейдет? )
      • +2
        А вы проверьте и напишите результаты
      • +13
        Вероятно, сработает первая, получившая заголовки ответа.
      • +8
        А если закольцевать? Переход со стороны на страницу 1, оттуда на страницу 2, с такой же картинкой, со второй снова на первую и по кругу далее?
        • 0
          В таком случае браузер должен отоборазить сообщение о циклическом редиректе, и предложить закрыть страницу. В FF так.
          • 0
            Редирект может быть не моментальным (первый параметр в заголовке). Или браузер всё равно отслеживает зацикленность?
    • +4
      Opera 12.02. Картинка не грузится.
      (я что-то делаю не так?)
      • +8
        Хабраэффект же. «Пожалуйста подождите, наш вирус скоро установится». Меня быстро "покатало" =)
      • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        Version 12.02 Build 1578 Platform x64 System Windows 7
        Не редиректило :(
    • 0
      Неудачная попытка. Сайт (рутрекер) отдает для этого файла заголовок X-Frame-Options, запрещающий отображать эту картинку на других сайтах, и Опера вместо картинки показывает страницу с ошибкой. Хотя в сафари, например, отображается.
    • +1
      Меня перенаправило сюда rutracker.org/forum/viewtopic.php?t=4228361
      Opera 11.52
    • +2
      Опера 11.61 Linux i686 — баг работает просто отлично.

      Правда срабатывает оно через секунд 8 при первой загрузке.
    • 0
      12.02 на маке, перенаправляет )
      • 0
        А саму картинку видите? Видимо, у некоторых пользователей какие-то настройки, либо прокси, отключают заголовок X-Frame-Options.
        • 0
          Да, успеваю увидеть и в течении секунды или менее и перенаправляет )
    • 0
      Хром 24.0.1305.3 на винде.
      Картинка рисуется.
      При попытке открыть ее в отдельной вкладке предлагает сохранить «загруженное» на диск.
      Внутри полученного файла
      [InternetShortcut]
      URL=http://rutracker.org/forum/viewtopic.php?t=4228361
      • +4
        А вот IE 5.0 в виртуальной Win98 SE выполнил недопустимую операцию и таки, да, честно закрылся.«Ну не понимаю я, что вы от меня хотите! Ни в каких таких стандартах не написано, что ходить нельзя, но я же чувствую, что нельзя». Хотя, конечно, при чем здесь опера :)
        • 0
          Лучший выход при неопределённой ситуации — испугаться и закрыться. Всё правильно сделал!
    • +1
      У меня картинки отключены по умолчанию. Загрузил вручную, но Опера осталась на Хабре. Использую бета-версию 12.10, сборка 1620. Судя по остальным комментариям, перенаправление срабатывает в 11-ых версиях?
      • 0
        Уязвимость эксплуатируется во всех версиях ниже 12.10, просто данная конкретная картинка, вставленная с сайта рутрекера, защищена от встраивания на другие сайты, что затрудняет эксплуатацию с данной конкретной картинкой.
      • 0
        > отключены по умолчанию
        Не влияет. Обновите страницу.
        • 0
          > Не влияет.

          Потестил ещё влияние функции отключения картинок и как-то оно спорадически, то работает, то не работает…
        • 0
          Действительно! Буду с нетерпением ждать исправления.

          Из-за этого глюка с рабочего компа так и не смог ответить, постоянно перекидывало на яндекс :))) Даже после очистки кэша и отключения картинок. Этот ответ написал уже с домашнего компа :)))
    • НЛО прилетело и опубликовало эту надпись здесь
    • –4
      12.02 (1578) — никуда не редиректит. но картинку не отображает.

      Скажите, у кого-нибудь баг этот сработал? А то судя по комментариям ни кого не перенаправляет…
  • +28
    Удивительно, на рутрекере уже не первую неделю висит описание, а на Хабре только сейчас. Что-то теряем хватку, господа.
    • +9
      Я бы не сказал, что это та новость, которую нужно было сразу постить на Хабр. Но вот то, что баг 2-3 недели висит, о нём знает пол-рунета, а его ещё не пофиксили — это, действительно, достойно публикации на Хабре. Учитывая популярность браузера.
  • +3
    Опера опять всё сделала по-своему…
  • +3
    Откройте картинку в новой вкладке — будет редирект.
    Иначе не грузится картинка.
  • 0
    Хм… Firefox предлагает скачать файл *.part имя файла меняется каждый раз, при новой загрузке. А уже в файле ссылка на рутрекер))
  • –1
    При открытии картинки в новом окне Konqueror 4.8.5 предлагает выбрать приложение и открыть в нем. Выбрал текстовый редактор, получил вот что:

    [InternetShortcut]
    URL=http://rutracker.org/forum/viewtopic.php?t=4228361

  • +11
    Opera в своём репертуаре — «мы тут не причём, всё нормально, но, так уж и быть, мы сделаем то, о чём вы просите, но не сейчас, а завтра, или, скажем, послезавтра». Этот баг эксплуатирует уже каждый второй script-kiddie.
  • +10
    Для тех, кто не читал по ссылке: есть также описание механизма обезопасивания себя

    Tools -> Preferences -> Advanced -> Downloads -> Uncheck «Hide file types opened with Opera» -> Select «application/internet-shortcut» -> Edit… -> Select «Show download dialog»
  • +1
    12.10/Windows, перенаправляет на Яндекс.
  • +1
    > и отдать при запросе evil.com/evil.png следующие заголовок:

    Как показано на rdot.org/forum/showpost.php?p=29035&postcount=25 это не обязательно.
  • +4
    Оперативно:
    my.opera.com/desktopteam/blog/2012/10/26/prefetching-hovered-links
    CORE-49107 Disallow internet shortcuts in frames (+ svg images)
    • 0
      Да, наконец-то пофиксили.
      • 0
        Обновился.
      • 0
        Из упомянутого на rdot остались мини баги со скрытием реферрера с помощью ссылки вида data:application/internet-shortcut,[INTERNETSHORTCUT]%0D%0AURL=http://ya.ru/ и то, что data:-урлы в опере наследуют домен.
        Опасности они видимо, не представляют.
    • +2
      зарепортил им DSK-374499 22 сентября. оперативненько.
  • 0
    (Отчитаюсь об очевидном)
    12.02 / сборка 1578 / Win32 — баг работает, через секунду перекидывает на Яндекс; картинка в другом браузере видна (Fx16, Chrome 22). Однако, ссылка из предыдущего комментария говорит о несколько другой проблеме, не относящейся к этой («When a user hovers links...»). Но установка этой бета-версии (12.10 beta RC / 1620, проверено на WinXP, 32bit) по ссылке со страницы эту проблему НЕ РЕШАЕТ (на сайт Яндеска после установки всё равно редиректит). Впрочем, установка этой бета-версии ничего не портит, т.к. устанавливается в другую папку и её затем можно удалить.
    • 0
      2 секунды, если быть точнее:

      refresh: 2;url=data:application/internet-shortcut,[InternetShortcut]%0D%0AURL=http%3A%2F%2Frutracker.org%2Fforum%2Fviewtopic.php%3Ft%3D4228361
  • 0
    Версия:
    12.02
    Сборка:
    1629
    Платформа:
    Linux
    Система:
    x86_64, 3.5-trunk-amd64

    Никуда не перенаправило.
  • +12
    «Это не баг, а фича». Грустно такое слышать от разработчиков оперы…
  • +3
    У Оперы «своё мнение» стало слишком часто противоречить здравому смыслу. Раньше оно выливалось в наиболее точное следование стандартам, теперь — в маразм.
  • 0
    Решето!
  • 0
    Версия:
    12.10 beta
    Сборка:
    1642
    перенаправило!
  • +9
    Довольно странная ситуация. Opera славилась скоростью закрытия уязвимостей. Да, можно не считать данную проблему уязвимостью, но проблема от этого никуда не девается. Можно сказать, что it-ресурсы начали истерить и внимательных пользователей не обманешь, но случаи эксплуатации есть, шума уже довольно много. Не на пользу это браузеру. Стоило бы выпустить 12.03 (и 11.68 для Mac). Не в том положении, чтобы можно было ничего не делать.
  • +1
    Opera 11.64 Win — никуда не перенаправляет.
    Специально заходил на страницу и перезагружал её несколько раз. Одна из картинок не отображается (та, что в #comment_5337075).
    internet-shortcut стоит по-умолчанию.

    PS: 12.0x — серия безбожно глючила после установки, пришлось остаться на 11. Жду версию 12.10
    • 0
      Попробовал ещё раз — стало редиректить. Толи картинку «подправили», то-ли она не прогружалась…
  • +3
    В случае с моими сайтами — требовали ввести свой номер телефона (так и не понял, зачем им это было нужно).

    Очевидно были реализованы смс-подписки. Так что сделайте нотифи своим пользователям, если у кого деньги с телефона начали списывать.
  • +1
    О программе
    Информация о версии
    Версия:
    12.02
    Сборка:
    1578
    Платформа:
    Mac OS X
    Система:
    10.8.2

    Не перенаправляет, проверял уже несколько раз. Похоже не все системы или сборки подвержены.
    • 0
      Нестандартные настройки связанные с кешированием?
      • 0
        Кеш в памяти — автоматом, дисковый кеш — отключен.
        • 0
          > дисковый кеш — отключен.
          Вот и ответ. И ещё один способ обхода уязвимости.
  • +1
    в 12.02 не закрыта уязвимость с xss. Исправили в тестовой сборке, но непонятно когда выйдет релиз. И это меня гораздо больше беспокоит чем редирект, который можно отключить в настройках.
  • +1
    Фаерфокс 16.0.1
    image
    • 0
      16.0.2 то же самое
  • +2
    > Как выяснилось, в Opera уязвимости нет и проблема не является результатом ошибок в браузере
    Знатно в уши срут. Считал до этого оперу компанией, которая не опустится до таких гнилых отмазок.

    Я был лояльным пользователем оперы 7 лет. До текущего момента.
    Есть вопрос про Chrome: как он сохраняет пароли? Можно ли поставить мастер-пароль, чтобы троян не смог их угнать?
    • 0
      Сохранят нормально, про мастер пароль не скажу т.к. не было нужды. Пользуюсь везде Lastpass. Если Lastpass по какой-то причине не устраивает, Keepass вам в руки. Так ни один троян не угонит.
      • 0
        Троян может базу угнать и закейлоггить мастер-пароль от неё.
        • 0
          Много вы таких паблик троянов знаете?
          • +1
            Ни одного.
            Если вы запарились спрятать и зашифровать все пароли, то вы немного параноик.
            Но при этом, они спрятаны в одной корзине, всего-навсего за одним замочком. Это должно вас волновать тоже )
            Возможно, кто-то захочет украсть именно ваши пароли. Тогда он может найти возможность увести вашу базу с вашего компа или флешки. А кейлоггером получить мастер-пароль.
            Не очень безопасно, не правда ли?
            Думаю, можно ещё из памяти пароли из базы выудить, когда она открыта.
            Так как у LastPass и KeePass большая база пользователей, это повышает возможный профит от специальных решений по их взлому.
          • 0
            Понимаете, меня самого эти вопросы беспокоят.
            Я не могу запомнить все пароли, которые у меня есть, соответственно, приходится использовать спец-средства.
            Никак не придумаю наилучший вариант.
  • 0
    shpankov нужно работать в правительстве РФ, отмазки в нужном стиле пишет на ура.
  • –17
    Ну, давайте снова по порядку.

    1. Это баг, а не уязвимость. Баг уже исправлен в последней тестовой сборке и войдёт в финал 12.1.

    2. Наш вывод по поводу классификации данного бага косвенно подтверждают и сторонние исследователи из SecurityLab.ru и Secunia.com, не опознавшие в данном баге браузеронй уязвимости. На SecurityLab.ru опубликовано сообщение о другой «уязвимости», которая на самом деле также не является уязвимостью именно браузера (см. Межсайтовый скриптинг).

    3. «Эксплуатация уязвимости» стала возможна по причине отсутствия должного контроля за публикуемым пользователями содержимым со стороны владельцев сайтов. Опять же косвенно это подтверждается и тем, что Rutrecker.org быстро нейтрализовал проблему, введя список доверенных источников для размещения ссылок на изображения.

    4. Также важную роль играет и внимательность самих пользователей, переадресованных на другие сайты: при переадресации в адресной строке меняется и URL, таким образом пользователю сообщается, что он уже не там, где рассчитывал быть. Кроме того, в левой части адресной строки Opera находится кнопка-поле, позволяющее быстро сообщить об обнаружении мошеннического сайта соответствующим сервисам. После проверки, данный сайт попадает в список неблагонадёжных и при попытке посетить его другими пользователями, они будут предупреждены о том, что сайт не заслуживает доверия.

    5. Сам факт осуществления перенаправления пользователя не приводит к потере каких-либо данных этого пользователя.

    P.S. Вообще, данный случай выявил несколько неприятных моментов. Особенно огорчил отказ администрации Rutracker.org прислать пример кода, приводящего к редиректу, а также нежелание некоторых технически грамотных пользователей, активно принимающих участие в обсуждениях на форумах и в блогах, обсудить детали проблемы непосредственно с разработчиками Opera Software.

    Мы по-прежнему очень внимательно относимся к безопасности браузеров Opera и никогда не скрываем, если уязвимость имеет место быть, при этом оперативно выпуская обновлённые версии. Также мы надеемся на то, что пользователи, обнаружившие проблемы в работе браузера Opera, будут готовы к более конструктивному диалогу с разработчиками Opera, а не просто обсуждать проблемы в русскоязычных блогах и форумах, читать которые разработчики иностранной компании не имеют возможности.
    • +6
      > 1. Это баг, а не уязвимость.
      Это именно уязвимость. Я зашел из закладок на хабр, кто-то вставил хитрую кртинку, меня перебрасывает на сайт harbahabr.ru, где мне предлагается залогиниться. Урл поменялся, но кто это заметит?

      > 3. «Эксплуатация уязвимости» стала возможна по причине отсутствия должного контроля
      > за публикуемым пользователями содержимым со стороны владельцев сайтов.
      Это оффиициальная политика компании? Вставлять на свой сайт изображения с других доменов строго воспрещается? Это новое слово в вебе.

      > в левой части адресной строки Opera находится кнопка-поле, позволяющее быстро сообщить
      > об обнаружении мошеннического сайта соответствующим сервисам.
      И как можно воспользоваться этой возможностью, если на сайт, с которого редиректит, невозможно зайти (редиректит же!), а сайт, на который редиректит вообще не имеет к этому сообщению?

      > Особенно огорчил отказ администрации Rutracker.org прислать пример кода, приводящего к редиректу
      Картинка в открытом доступе. Что еще нужно было?
      • –6
        > Это именно уязвимость. Я зашел из закладок на хабр, кто-то вставил хитрую кртинку, меня перебрасывает на сайт harbahabr.ru, где мне предлагается залогиниться. Урл поменялся, но кто это заметит?

        Точно такой же эффект очень часто достигается внедрением JS Injections на сайты. Но это не считается уязвимостью браузера — это недоработка админов сайтов.

        > Это оффиициальная политика компании? Вставлять на свой сайт изображения с других доменов строго воспрещается? Это новое слово в вебе.

        Почему?
        Для защиты от уязвимостей данного типа требуется жёсткая фильтрация, как названий атрибутов, так и их значений. Также следует запретить использование протоколов javascript: и data: во всех ссылках.
        Wikipedia

        > И как можно воспользоваться этой возможностью, если на сайт, с которого редиректит, невозможно зайти (редиректит же!), а сайт, на который редиректит вообще не имеет к этому сообщению?

        В данном случае мошенническим является сайт, на который пользователь перенаправляется. Вот этот сайт и нужно помещать в неблагонадёжные.

        > Картинка в открытом доступе. Что еще нужно было?

        Теперь — в открытом, на момент запроса к Rutracker.org её ещё не было.
        • +8
          Почему?
          Для защиты от уязвимостей данного типа требуется жёсткая фильтрация, как названий атрибутов, так и их значений. Также следует запретить использование протоколов javascript: и data: во всех ссылках.
          Wikipedia

          Хм, такое впечатление, что вы не понимаете сути атаки.
          Владелец сайта никак не может «отфильтровать» http заголовки картинки, они идут напрямую с чужого сайта в браузер пользователя, а не через сайт где была вставлена картинка.

          Другими словами вы либо не понимаете как эта уязвимость работает, либо как «решение» предлагаете перестать в вебе использовать картинки с других сайтов и все картинки хостить только на своем сервере.
          • –7
            > перестать в вебе использовать картинки с других сайтов и все картинки хостить только на своем сервере.

            На Rutrecker.org ввели список доверенных img-хостов. Как вариант можно использовать блокирование мошеннических хостов, но это не самое лучшее решение, т.к. нужно будет оперативно реагировать на появление всё новых. Поэтому хранение картинок у себя или список доверенных хостов выглядит предпочтительней, иначе нет страховки, что в будущем мошенники не найдут ещё какую-нибудь лазейку.
            • +4
              > Поэтому хранение картинок у себя или список доверенных хостов выглядит предпочтительней, иначе нет страховки, что в будущем мошенники не найдут ещё какую-нибудь лазейку.

              Вряд ли это можно назвать решением.
              Если я например веду блог с кошечками, от меня как от владельца не должно требоваться при вставки фоток с кошечками проводить расследование можно ли доверять сайтам откуда я их вставляю.
              При этом вообще теряется большая часть смысла Веба в том виде, в котором он есть сейчас.
              В браузерах для этого и существуют политики безопасности, чтобы владельцу сайта не надо было ломать голову, например можно ли доверять сайту, контент с которого он вставил через iframe и не украдет ли тот сайт потом куки.
              • –4
                > Если я например веду блог с кошечками, от меня как от владельца не должно требоваться при вставки фоток с кошечками проводить расследование можно ли доверять сайтам откуда я их вставляю.

                Если вы просто ведёте блог на каком-то сервисе, это не ваша забота, а забота админов блог-сервиса. Если же вы ведёте блог на своём сайте, то — да, это ваша забота.

                Но в контексте обсуждаемого бага с редиректом вы можете не проверять каждую картинку: если она уже где-то опубликована, то ссылка на неё безопасна. Мошенники добавляют на сайты ссылки на картинки, которые сразу перенаправляют на другой сайт. Т.е. вы бы и не увидели данную картинку.
                • +4
                  > если она уже где-то опубликована, то ссылка на неё безопасна. Мошенники добавляют на сайты ссылки на картинки, которые сразу перенаправляют на другой сайт. Т.е. вы бы и не увидели данную картинку.

                  Мошенники могут сначала опубликовать безопасную картинку.
                  А если она окажется вирусной и разойдется по блогам тогда и включить редирект.
            • +1
              Или например устанавливая код баннера у себя на сайте, иногда заранее вообще нельзя узнать с каких хостов будут показываться картинки. А если и узнаю, то как определить можно ли им доверять?

              А отображение картинок в письмах? Как пользователю или почтовому сервису заранее узнать можно ли включить отображение или нет?

              Ну итд, примеров можно придумать массу.
    • +2
      >2. Наш вывод по поводу классификации данного бага косвенно подтверждают и сторонние исследователи из SecurityLab.ru и >Secunia.com, не опознавшие в данном баге браузеронй уязвимости. На SecurityLab.ru опубликовано сообщение о другой >«уязвимости», которая на самом деле также не является уязвимостью именно браузера (см. Межсайтовый скриптинг).

      Илья, формально xss является уязвимостью сайтов. Но в данном случае это очень серьезная уязвимость браузера, которую очень легко эксплуатировать. Далеко не все популярные сайты используют HTTP only cookies. Habr не является исключением.

      Я думаю, многие ждали релиза 12.03, а не тестовую сборку Opera Next, релиз которой (и соответственно автоматическое обновление) будет непонятно когда.
      • 0
        Прошу прощения, конечно же 12.1. Но суть проблемы не меняет
      • –1
        > Далеко не все популярные сайты используют HTTP only cookies. Habr не является исключением.

        Куки тут вроде не причем. Браузер не передаст их на другой домен.
        Опасность в фишинге
        • 0
          У меня для тебя плохие новости…
          • 0
            И какие же?
            • 0
              Илья приводил ссылку www.securitylab.ru/vulnerability/430940.php
              В статье есть ссылка и на оригинал.
              Я надеюсь, что обсуждаемый здесь баг с редиректом нельзя объеденить с этим xss.
          • 0
            Вы пишите про атрибут HTTPonly он помогает бороться с определенным типом XSS, когда куки крадутся со страницы через JS код.
            Как это относится к этому топику, ведь тут речь только про редирект на другой домен?
            Или вы знаете как с помощью этой уязвимости выполнить JS код в контексте политики безопасности первого домена?
      • –2
        > Далеко не все популярные сайты используют HTTP only cookies

        Между тем, их нередко рекомендуют к обязательному использованию для обеспечения более качественной защиты сайтов от атак:
        prophet.ru/2010/12/httponly-cookies/
        • +1
          Повторю пожалуй, свой вопрос с рутрекера. Хотелось бы более-менее официального ответа:
          ____
          Теперь неплохо бы услышать, будет ли закрыто xss в старых версиях. Обновлением browser.js, (если это возможно решить таким образом, разумеется).
          Хотя
          if(location.protocol == 'data:')location.reload = function(){}
          кажется работает.

          В качестве примера, на github.com/operasoftware/browserjs/tree/master/desktop скажем, browserjs-11.62.js был обновлён позавчера.
          • 0
            Я пытался исправить баг через userjs (нет среды выполнения), через расширение в режиме dev mode (вроде получается перекинуть location = 'opera:about' до момента выполнения скрипта data:text/html), через расширение в обычном режиме (есть среда выполнения, но не могу остановить выполнение)
            Уверен, что browser.js исправил бы ситуацию.
            • +1
              Проверил на rdot (с включенным opera:config#UserPrefs|UserJavaScriptonHTTPS) — работает, кукисы не показывает. Так что почти наверняка — да.
          • 0
            > Повторю пожалуй, свой вопрос с рутрекера. Хотелось бы более-менее официального ответа:

            Алексей, задавать вопрос и ждать официального ответа на Хабре или Рутрекере по меньшей мере странно — оба ресурса не являются официальными каналами Opera Software. Мои ответы здесь и на Рутрекере не являются официальными, это лишь моя попытка донести логику мышления разработчиков Opera до интересующейся проблемой общественности.

            Ты можешь отправить запрос разработчикам используя официальный канал
            • 0
              У вас же здесь вроде бы был официальный бложек.
              Но вопрос фактически о другом, об отношении к своим пользователям. Либо вы стараетесь обезопасить их насколько возможно, либо заб[иы]ваете. Менеджер по развитию вполне может на него ответить.
              • –2
                Менеджер по развитию не может отвечать на вопросы, адресованные разработчикам — это не его компетенция. «Официальный бложек» на Хабре также не является официальным блогом разработчиков Opera. Данный топик опубликован не в официальном корпоративном блоге, и я здесь присутствую не как официальное лицо, а как обычный пользователь Хабра.

                Отношение к своим пользователям в Opera не менялось и остаётся прежним — мы всегда внимательно относимся к их проблемам, связанным с браузером Opera. На твой запрос, отправленный в BTS по ссылке выше (если, конечно, он будет отправлен), обязательно будет ответ разработчиков.
  • 0
    Судя по предыдущему опыту, с вероятностью в 90% это будет отписка в стиле «мы работаем над этим». Впрочем, отправил.
    • +1
      Вижу.

      Только я вот одного не понимаю. В чём скрытый смысл оскорблений, помещаемых в баг-репорт? Это попытка поставить себя выше людей, которым адресовано сообщение? Я ещё могу понять, когда оскорбительные послания шлют недоумки, ничего умнее не придумавшие, но ты же, Алексей, вполне себе взрослый и умный человек? Ты отправляешь сообщение соверешенно незнакомым тебе людям, зачем же изначально показывать себя с негативной стороны?
      • 0
        Там было:
        What do you expect to happen? Quick fix. What actually happens? You are slowpokes.

        Что я туда должен был писать, когда на оффсайте уже почти месяц предлагается уязвимая версия? Молодцы делайте так и дальше?
        Да и вообще, что осмысленного можно в данном случае написать в этих полях.
      • –2
        Проблема с полями при отправки баг-репортов действительно есть. Дурацкий поля, дурацкий ответы в них.
  • +8
    Приветствую хабровчан, а также Вас, гражданин соврамши!

    Мне бы очень не хотелось вмешиваться в обсуждение этой проблемы. Хотелось бы исключить любую возможную предвзятость во мнениях независимых и не пострадавших от данной уязвимости людей. Особенно здесь, на хабре, где большинство не просто пользователи, которым легко заморочить голову любым наукообразным бредом, а специалисты, которые прекрасно понимают, о чем на самом деле идет речь.

    Поэтому я хочу прокомментировать только один момент, который тов. Shpankov упоминает уже не первый раз (первый был здесь) и процитировать, что ему было сказано по данному вопросу

    Он пишет:
    Особенно огорчил отказ администрации Rutracker.org прислать пример кода, приводящего к редиректу

    Это не так. На его вопрос:
    Можете вы прислать нам образец ссылок, которые размещались на Рутрекере и приводили к угону аккаунтов или редиректу?

    был дан ответ:
    я их не сохранял
    для тестирования в них было мало толка, они срабатывали только один раз и после этого хакер отдавал по ним уже другой контент
    но можете спросить у тех.помощи
    rutracker.org/forum/groupcp.php?g=104841

    И это не говоря о том, что намного раньше, даже в темах на рутрекере, где он писал, что уязвимости нет, ему приводили примеры и редиректов, и других уязвимостей (да он и сам там давал ссылки на первоисточник).
    > Картинка в открытом доступе. Что еще нужно было?
    Теперь — в открытом, на момент запроса к Rutracker.org её ещё не было.

    Тестовая картинка была сделана на скорую руку уже во время подготовки новости

    cookies

    Страшно представить, сколько бы людей пострадало, если бы мошенник мог использовать второй некритичный баг Оперы, получая данные сессии и полный доступ к сайту от имени юзера.
    • +2
      Написанное выше считать за официальный ответ от моего коллеги, который занимался этой проблемой.
  • –5
    Народ что вы так всполошились из-за этой проблемы, не понимаю. Не вижу ничего критичного, проблема легко устраняется путем настроек в опере (благо опера гибкий в настройках браузер). Разумный человек не будет вестись на фишинговые сайты, а дурака никакая заплатка не спасет. Если человек не понимает что нужно смотреть в первую очередь куда шлешь данные, то у таких и вирусов в компе как грязи (обычная ситуация для непонимающих). И помимо этой проблемы уж поверьте у них других хватает выше крыше.

    Я сижу на Опере 11.64 и меня вполне устраивает этот браузер, а данную проблему просто отключил в настройках.

    Для тех кто не в курсе как это сделать: Идем в «Инструменты» далее выбираем «Общие настройки...», там ищем вкладку «Расширенные» затем пункт «Загрузки», снимаем флажок «Скрыть типы, открываемые Opera». Ищем в списке тип «application/internet-shortcut» выделяем его, затем жмем «Изменить...», затем в пункте «Действие» ставим радиобатон на «Показать диалог загрузки» затем «ОК» и снова «ОК». Вот и все проблемы.
    • +3
      Тыкните сюда, уважаемый devote
      • –4
        И что я должен был увидеть? открылся алерт с:
        <about:blank>
        
        PHPSESSID=6812f130da507cafecc7928ef879829e; hsec_id=69e740e3e099524e2fbb417ce83ebf3c; hl_flow=posts; __utma=164318880.966899584.1350176797.1351348804.1351353884.31; __utmc=164318880; __utmz=164318880.1351353884.31.18.utmcsr=rutracker.org|utmccn=(referral)|utmcmd=referral|utmcct=/forum/viewtopic.php
        Как это влияет на безопасность?
        • –2
          Я так понимаю стырили куки с хабра? И гдеж подвох?
          • +2
            Нет, куки не стырили, там выводится только алерт.
            вам этого недостаточно? а если бы это был не хабр, а ваша почта?
            • –9
              Я пароли не сохраняю в браузерах и на сайтах, мне всегда проще вводить их каждый день… А насчет почты, ну допустим зашел кто-то на мою почту и что он там увидит? куча писем? Важные данные, пароли и т.д. Мне не шлют по почте и я не шлю, там тырить просто нечего. Да и подозрительные ссылки на почте я не тыкаю.

              Ну а в целом конечно я с вами согласен, для простых мало понимающих людей это конечно не есть гуд.
              • +1
                Капец у вас логика, блин.
                • –5
                  чем она вас не устраивает? говорю же, для меня это проблемой не является. мне нечего скрывать и тырить у меня нечего… Ну а стырят и фиг с ним, не умру же от этого.
              • +3
                Зашел на твою почту и с помощью восстановления паролей получил доступ ко всем аккаунтам нам всех сайтах, где вы зарегистрированы. Да и сам факт того, что кто-то будет видеть вашу почту — это плохо.

                А для определенной категории людей, чья жизнь завязана в том числе и на сеть — это вообще беда
                • –2
                  Зашел на твою почту и с помощью восстановления паролей получил доступ ко всем аккаунтам нам всех сайтах

                  Ну вперед, тогда придется ох как долго ждать когда же я соизволю зайти на почту созданную специально для регистраций на всяких сайтах.

                  И еще раз напомню, я не тыкаю в почте левые ссылки и даже не открываю письма когда вижу что они никак не относятся к тому с чем я связан. А просто тупо все летит в корзину, даже без просмотра.
                  • 0
                    … даже без просмотра...

                    Ну, это если только создатели сервиса не «постарались для вас» и не сделали предзагрузку «наиболее вероятных» (с их точек зрения, конечно) страниц (в данном случае писем) для вашего же «удобства».
                    А гарантировать, что у них никогда не появятся такие «фишки интерфейса» вы не можете.

                    PS: В некоторых ситуациях эти «фишки» могут быть и полезны — увеличивают отзывчивость интерфейса и др., но не в данном случае и не в случае мобильного соединения с оплатой за трафик...
  • +1
    Прощай, Опера, это было последней каплей для меня.
    P.S. Теперь уже — бывший пользователь этого не плохого в свое время браузера.
  • 0
    opera mobile for android — тоже самое.
  • +3
    подозреваю, что порядело…

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.