Исходное сообщение
"В Firefox 4 и Opera 11 будет заблокирована поддержка протоко..." Отправлено filosofem, 11-Дек-10 11:31
А что прокси нарушают, какую спецификацию? Ни в каком std не написано, что нельзя кэшировать по хостнэйму. Да и кэширование по ИП не дает никакой гарантии, что другие исследователи не смогут его эксплуатировать. >Так в том же исследовании прекрасно описано, как тех же целей «ломания снаружи» можно достичь с явой и флэшом. И что, запретим по дефолту в браузерах флэш и яву? Да, этот крап в вэбе не нужен. Так, между прочим, эксплойт вэбсокета через Upgrade тоже использует флэш. Так обычно и получается (и тот кто хотя бы раз занимался взломом или защитой от него, а не просто теоретизирует, тот знает), что успешный взлом эксплуатирует сразу множество уязвимостей. Например дыра в CMS, плюс кривость PHP, плюс необновленное ядро, плюс неграмотная политика безопасности, позволяющая поднять привилегии чаще всего приводят к взлому сервера при помощи инъекции, PHP шелла и эксплойта ядра. Хотя ни одна из этих уязвимостей в отдельности ни к каким катастрофическим последствиям не приводит. Клиента чаще всего подводит дырявая необновленная операционка, плюс работа под админом, плюс необновленный браузер, плюс дыра в флэше/джаве/пдф-ридере или каком-то софте со старыми библиотеками, плюс конечно _незнание_ и желание пользоваться всем новеньким и блестящим, забив на безопасность, несмотря на предупреждение о том, что протокол уязвим сам по себе. Кстати и протокол отвечающий всем спецификациям нифига не обязательно безопасен на практике, взять тот же ДНС. И вообще развелось "специалистов" которые на каждое сообщение о уязвимости кричат, что это не работает и все юзеры сами виноваты. И так до тех пор пока не увидят у себя в консоле uid=0(root) или пока их самих не поимеют.