forum.opennet.ru - "Уязвимость в store.kde.org и каталогах OpenDesktop" (50)

"Уязвимость в store.kde.org и каталогах OpenDesktop"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в store.kde.org и каталогах OpenDesktop"	+/–
Сообщение от opennews (??), 25-Июн-21, 23:12
В каталогах приложений, построенных на основе платформы Pling, выявлена уязвимость, позволяющая совершить XSS-атаку для выполнения JavaScript-кода в контексте других пользователей. Проблеме подвержены такие сайты, как store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org и pling.com... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55393
Ответить \| Правка \| Cообщить модератору

Оглавление

Не знаю кому как, а мне эта шутка зашла , Аноним (1), 23:12 , 25-Июн-21, (1) +21

Я сдерживаюсь, как ведущий интервью с Ризитасом , InuYasha (??), 23:19 , 25-Июн-21, (2) +4

Hesuuuu ahi-ahi, Ольбертович (?), 20:56 , 26-Июн-21, (44) +1

В любой новости можно написать слово Электрон, и опеннетчики не увидят более нич, Аноним (47), 14:11 , 27-Июн-21, (47) +1

Не нравится писать Electron , напиши Rust , Аноним (49), 11:55 , 29-Июн-21, (49)

К Кедам это не имеет отношения , Аноним (49), 11:57 , 29-Июн-21, (50)

Вот тут можно выносить Эта проблема известна со времён форумов со вставкой чего, InuYasha (??), 23:21 , 25-Июн-21, (3) +2
Что-то в последнее время уязвимостей находят как из рога изобилия , Аноним (4), 00:06 , 26-Июн-21, (4) +1

До этого никому дела не было пока работало Что изменилось - политический контек, Аноним (14), 02:07 , 26-Июн-21, (14)

Про ocs-manager понравилось По факту это Хром и ФФ проделали дыру вам в систему, Аноним (5), 00:06 , 26-Июн-21, (5) +1

Популярные браузеры всегда кладут болт на пользователей, Аноним (4), 00:08 , 26-Июн-21, (7) +1

Непопулярные не кладут , Аноним (8), 00:09 , 26-Июн-21, (8)

А он уже лежал, когда мы делали форк, мы-то тут причем , непопулярные (?), 00:18 , 26-Июн-21, (9) +10
кладут не болт, Амоним (?), 00:20 , 26-Июн-21, (10)

А Гайку и Вжика, Аноним (11), 00:26 , 26-Июн-21, (11) +1

Винтика и Шпунтика, Ordu (ok), 01:03 , 26-Июн-21, (12) +1
Ну, положить Гайчку- еще куда ни шло экий проказник но Вжика извращенец , ыы (?), 09:47 , 26-Июн-21, (22) +1

Можешь Рокки положить если муха не нравится Палка сыра и мышь твоя 129315 , Туши пукан васян (?), 20:54 , 26-Июн-21, (43) +1

Наоборот заботятся Говнобанки как минимум 1 красного цвета, и это не альфа ал, Аноним (16), 08:57 , 26-Июн-21, (16)

Как будто банк действительно держит за яйца, забирая все содержимое счетов неуст, Dzen Python (ok), 10:38 , 26-Июн-21, (26) –1

Dzen Python золотой мальчик для него 300 миллионов рублей это карманные деньг, ыы (?), 10:49 , 26-Июн-21, (29) +2
На уставной капитал попросить у Dzen Python , Майор (??), 11:01 , 26-Июн-21, (31) +2

только собственная лень и НЕУДОСТВО не позволяют надыбать уставной капитал д, ыы (?), 11:12 , 26-Июн-21, (33)

Эдак и свою водку можно официально производить и продавать Лицензия, правда, 8,, Lex (??), 11:39 , 26-Июн-21, (34)

Можно Мистер говорит всего лишь, что банк всегда можно поменять, деньги со счет, Dzen Python (ok), 12:20 , 26-Июн-21, (35) –1

Банк - это не из разряда 171 одному среднестатистическому человеку не понравил, Lex (??), 14:12 , 26-Июн-21, (39)

Ты эта, не расстраивайся сильно но за стопервым километром не только псоглав, Аноним (-), 12:45 , 26-Июн-21, (36)

а кто ещё псозадцы , уууу (?), 18:08 , 26-Июн-21, (42)

Котолапцы и жабогласцы , bergentroll (ok), 07:47 , 27-Июн-21, (46)

Есть довольно много локалхост сервисов которые будучи написанные профессионально, ыы (?), 09:33 , 26-Июн-21, (18) –1

Я разрабатываю сайт Логично что он у меня на локалхосте работает и без аутентиф, Аноним (5), 13:51 , 26-Июн-21, (38) +1

JavaScript Нет рботы с памятью Кто там кричал rust , Аноним (6), 00:07 , 26-Июн-21, (6) –1

А памято то тут причем Ты бы хоть текст новости почитал , Аноним (37), 13:20 , 26-Июн-21, (37)

Flash - куча уязвимостей - плохоJavaScript - куча 1 уязвимостей- хорошоЧто-то ту, Аноним (15), 06:21 , 26-Июн-21, (15)

Так флеш отключался, а это понятно нехорошо , Аноним (8), 09:06 , 26-Июн-21, (17)

JS тоже , ыы (?), 09:35 , 26-Июн-21, (19) +2

Единицы сайтов были завязаны на флеш и для этих сайтов его можно было разрешить, Аноним (8), 09:47 , 26-Июн-21, (21) +1

50 сайтов в интернет это единицы , ыы (?), 09:50 , 26-Июн-21, (23)

Порнобаннеры не считаем, сайтов с флешем было не больше сайтов с джавой а скоре, Аноним (8), 10:08 , 26-Июн-21, (24)

Под джавой ты тут что подразумеваешь, javascript или java applet Если второе, т, BrainFucker (ok), 10:45 , 26-Июн-21, (27)

Во всяком случае, я видел сайты, которые требовали жава апплет для работы в том, Аноним (8), 10:57 , 26-Июн-21, (30)

Не считаю что это корректно исключать из выборки развлекательные сайты и называт, BrainFucker (ok), 11:11 , 26-Июн-21, (32)

Ну, пока работает Будет ли дальше работать, зависит от того, не поломают ли API, BrainFucker (ok), 10:46 , 26-Июн-21, (28)

Так здесь уязвимость не в самом JS в нем вообще сложно найти уязвимость , а в р, Аноним (37), 16:12 , 26-Июн-21, (41)

Так из фрейма же нет доступа к родительскому окну фрейму, если дочерний располож, BrainFucker (ok), 09:45 , 26-Июн-21, (20)

Можно поставить в систему пакет, которого пользователь ставить не собирался Мале, ыы (?), 10:12 , 26-Июн-21, (25)

Чтобы из браузера поставить пакет - тебе нужно вызвать xdg-open, и то - пакет от, Отражение луны (ok), 14:16 , 26-Июн-21, (40)

Таких балбесов, как ты, ещё поискать, Аноним (45), 02:49 , 27-Июн-21, (45)

Как без пароля ты сможешь добавить репозиторий и тем более поставить из него пак, AleksK (ok), 09:25 , 01-Июл-21, (51)

JS - язык, чтобы запрограммировать себе гарантированные выстрелы в ногу на всю ж, darkshvein (ok), 11:03 , 29-Июн-21, (48)

Сообщения [Сортировка по времени | RSS]

1. "Уязвимость в store.kde.org и каталогах OpenDesktop" +21 +/–

Сообщение от Аноним (1), 25-Июн-21, 23:12

>Electron
>без браузера
Не знаю кому как, а мне эта шутка зашла.

Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в store.kde.org и каталогах OpenDesktop" +4 +/–

Сообщение от InuYasha (??), 25-Июн-21, 23:19

Я сдерживаюсь, как ведущий интервью с Ризитасом )

Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимость в store.kde.org и каталогах OpenDesktop" +1 +/–

Сообщение от Ольбертович (?), 26-Июн-21, 20:56

Hesuuuu ahi-ahi

Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимость в store.kde.org и каталогах OpenDesktop" +1 +/–

Сообщение от Аноним (47), 27-Июн-21, 14:11

В любой новости можно написать слово Электрон, и опеннетчики не увидят более ничего другого.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

49. "Уязвимость в store.kde.org и каталогах OpenDesktop" +/–

Сообщение от Аноним (49), 29-Июн-21, 11:55

Не нравится писать "Electron", напиши "Rust".

Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимость в store.kde.org и каталогах OpenDesktop" +/–

Сообщение от Аноним (49), 29-Июн-21, 11:57

К Кедам это не имеет отношения.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

3. "Уязвимость в store.kde.org и каталогах OpenDesktop" +2 +/–

Сообщение от InuYasha (??), 25-Июн-21, 23:21

> допускает добавление мультимедийных блоков в формате HTML, например, для вставки ролика с YouTube или изображения.
Вот тут можно выносить. Эта проблема известна со времён форумов со вставкой чего-то большего, чем картинок. "мы хотим дать юзерам iframe-ы, но не хотим малвари" :)

Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в store.kde.org и каталогах OpenDesktop" +1 +/–

Сообщение от Аноним (4), 26-Июн-21, 00:06

Что-то в последнее время уязвимостей находят как из рога изобилия.

Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в store.kde.org и каталогах OpenDesktop" +/–

Сообщение от Аноним (14), 26-Июн-21, 02:07

До этого никому дела не было пока работало. Что изменилось - политический контекст или наплыв буткемперов-ИБшников которым нужно оправдывать свои сертификаты чтобы получить работу, думайте сами.

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в store.kde.org и каталогах OpenDesktop" +1 +/–

Сообщение от Аноним (5), 26-Июн-21, 00:06

Про ocs-manager понравилось. По факту это Хром и ФФ проделали дыру вам в систему, а разрабы этот ocs-manager должны были это предвидеть, следить за новыми такими дырами и защищаться от них, потому что оказывается вдруг что любой вражеский JS код из браузера может слать любые запросы к моим любимым локалхост сервисам, специально забинженных на 127,0,0,1 ради безопасности. Но хром и фф писюн клали на безопасность.

Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в store.kde.org и каталогах OpenDesktop" +1 +/–

Сообщение от Аноним (4), 26-Июн-21, 00:08

Популярные браузеры всегда кладут болт на пользователей

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в store.kde.org и каталогах OpenDesktop" +/–

Сообщение от Аноним (8), 26-Июн-21, 00:09

Непопулярные не кладут?

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в store.kde.org и каталогах OpenDesktop" +10 +/–

Сообщение от непопулярные (?), 26-Июн-21, 00:18

А он уже лежал, когда мы делали форк, мы-то тут причем?!

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в store.kde.org и каталогах OpenDesktop" +/–

Сообщение от Амоним (?), 26-Июн-21, 00:20

кладут не болт

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

11. "Уязвимость в store.kde.org и каталогах OpenDesktop" +1 +/–

Сообщение от Аноним (11), 26-Июн-21, 00:26

А Гайку и Вжика

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в store.kde.org и каталогах OpenDesktop" +1 +/–

Сообщение от Ordu (ok), 26-Июн-21, 01:03

Винтика и Шпунтика

Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в store.kde.org и каталогах OpenDesktop" +1 +/–

Сообщение от ыы (?), 26-Июн-21, 09:47

Ну, положить Гайчку- еще куда ни шло... (экий проказник) но Вжика... извращенец вааще...

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

43. "Уязвимость в store.kde.org и каталогах OpenDesktop" +1 +/–

Сообщение от Туши пукан васян (?), 26-Июн-21, 20:54

Можешь Рокки положить если муха не нравится! Палка сыра и мышь твоя 🤣

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в store.kde.org и каталогах OpenDesktop" +/–

Сообщение от Аноним (16), 26-Июн-21, 08:57

Наоборот заботятся. Говнобанки (как минимум 1 красного цвета, и это не альфа (альфой не пользовался) ) заставляют пользователей ставить говноприложения вместо того, чтобы использовать PKCS11. Эти говноприложения висят на localhost, и слушают http-запросы от веб-страниц, при поступлении запроса выводят окно, где надо ввести пароль для токена. Что будет, если в таком приложении найдётся уязвимость - догадаться нетрудно.
Что будет, если в Хроме однажды эту уязвимость прибьют? Доля Хрома сильно упадёт, а доля Internet Explorer сильно возрастёт. Банку ведь срать, он вас за яйца держит, это он диктует вам, какой софт у вас на компе будет.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

26. "Уязвимость в store.kde.org и каталогах OpenDesktop" –1 +/–

Сообщение от Dzen Python (ok), 26-Июн-21, 10:38

> Так, банк, у тебя опаять отвалился IB, я, как владелец бизнеса, отзываю деньги со всех своих трех р/с, тендерного спецсчета и мелкого помойного полуанонимного счета на заранее созданные счета в других банках. В течении 30 банковских дней + писина куча бумажек? Щас... <звонок другу, в банк приехала проверка> Так, срок сократился до 10 банковских дней, половина бумажек оказывается не нужна, но управляющий лично хочет проверить движения? Щас... <катается жалоба в ЦБ, после чего завизированная ЦБ копия шлется в банк> Так, уже 3 дня и пара важных бумажек, и управляющий расхотел проверять? Доброго дня.
Как будто банк действительно держит за яйца, забирая все содержимое счетов неустойкой, и не только собственная лень и НЕУДОСТВО не позволяют перейти в другой банк, или создать свой, получив у ЦБ аккредитацию.

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в store.kde.org и каталогах OpenDesktop" +2 +/–

Сообщение от ыы (?), 26-Июн-21, 10:49

>только собственная лень и НЕУДОСТВО не позволяют .. создать свой,
Dzen Python золотой мальчик... для него 300 миллионов рублей это карманные деньги...
http://znaydelo.ru/biznes/idei/kak-otkryt-bank.html
А может просто приукрашать любит?

Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в store.kde.org и каталогах OpenDesktop" +2 +/–

Сообщение от Майор (??), 26-Июн-21, 11:01

>создать свой, получив у ЦБ аккредитацию
На уставной капитал попросить у Dzen Python?

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

33. "Уязвимость в store.kde.org и каталогах OpenDesktop" +/–

Сообщение от ыы (?), 26-Июн-21, 11:12

"только собственная лень и НЕУДОСТВО не позволяют .. надыбать уставной капитал для открытия банка" (с) посвящается  Dzen Python

Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в store.kde.org и каталогах OpenDesktop" +/–

Сообщение от Lex (??), 26-Июн-21, 11:39

Эдак и свою водку можно официально производить и продавать..
Лицензия, правда, 8,5 млн руб - и это только официальные сборы. Само-собой требования к сертифицированному оборудованию, к производственным помещениям, к поставщикам, к интеграции с системами контроля итд итп никуда не деваются.
Мистер всерьёз полагает, что в банковской сфере прямого и косвенного контроля меньше чем в производстве алкоголя ?)

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

35. "Уязвимость в store.kde.org и каталогах OpenDesktop" –1 +/–

Сообщение от Dzen Python (ok), 26-Июн-21, 12:20

Можно. Мистер говорит всего лишь, что банк всегда можно поменять, деньги со счетов - вывести, а не страдать и плакать, почему банк экономит на кодерах своих клиентских сервисов.
Альзо при небходимости 300 миллионов может собрать даже средний холдинг на 2-3 региона присутствия. Не быстро, отлистал и пошел, полгода-год. Быстрее - если получить инвестиции от кого-то. Просто ребята не понимают порядок сумм на счетах даже у мелких ООО (не путать с засранскими ИП или мусорными ООО-под-ключ), 10-15 миллионов там в оперативном управлении вполне есть.
> Мистер всерьёз полагает, что в банковской сфере прямого и косвенного контроля меньше чем в производстве алкоголя ?)
Мистер видит кучу, нет ПИСИНУ КУЧУ мелких банков вокруг. Наверное - эти все офисы и работники там - иллюзия, а в стране работает только спермбанк, втб, олежа и альфа.

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в store.kde.org и каталогах OpenDesktop" +/–

Сообщение от Lex (??), 26-Июн-21, 14:12

Банк - это не из разряда «одному среднестатистическому человеку не понравились условия банка поэтому он сделал свой - как ип сделать, только банк». Хотя ты выше заявлял ровно об обратном, обвиняя собеседников в лени.
Это что-то, что должно приносить соразмерную прибыль, поскольку расходов оно требует постоянных и серьезных.
Не надо путать оборот и те суммы, которые можно просто взять и потратить на непрофильную деятельность, вдобавок, имеющиеся на счетах «прямо сейчас» в виде «живых» денег. В регионах не так уж и много подобных ООО.
Если предположить, что «чистыми» получаются порядка 5% выручки( что  нечасто. Нередко ещё ниже ) то для накопления 300млн руб речь о:
300 / 800 * 0,05 = 7,5 лет, в течение которых придётся копить всю прибыль максимально крупного малого предприятия( до 100 чел персонала ) только для начала работы по организации банка.
300 / 2 000 * 0,05 = 3 года придётся копить максимально крупному среднему предприятию( до 250 чел персонала )
Те банки не столь уж и мелкие.
Это банки не уровня СНТ или деревни.. нередко, даже не уровня города, а, как минимум, региона, а то и нескольких.

Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость в store.kde.org и каталогах OpenDesktop" +/–

Сообщение от Аноним (-), 26-Июн-21, 12:45

> Что будет, если в Хроме однажды эту уязвимость прибьют? Доля Хрома сильно
> упадёт, а доля Internet Explorer сильно возрастёт. Банку ведь срать, он
> вас за яйца держит, это он диктует вам, какой софт у вас на компе будет.
Ты эта, не расстраивайся сильно ... но за стопервым километром не только псоглавцы обитают!

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

42. "Уязвимость в store.kde.org и каталогах OpenDesktop" +/–

Сообщение от уууу (?), 26-Июн-21, 18:08

а кто ещё? псозадцы?

Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимость в store.kde.org и каталогах OpenDesktop" +/–

Сообщение от bergentroll (ok), 27-Июн-21, 07:47

Котолапцы и жабогласцы.

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в store.kde.org и каталогах OpenDesktop" –1 +/–

Сообщение от ыы (?), 26-Июн-21, 09:33

Есть довольно много локалхост сервисов которые будучи написанные профессионально - имеют аутентификацию пользователя вне зависимости от того на локалхост они привязаны или не на локалхост.
А если конкретно вы, когда пишите сервисы привязанные к локалхост- не вписываете им аутентификацию для критичных действий- ну вы сами себе дырки делаете. Настройте файрвол.  Не пищите больше сервисов. Или не жалуйтесь. А то что можно из скрипта на JS можно сделать сетевое соединение- это часть языка, и браузер тут не при чем.
А то вы как те олухи которые требуют запретить TCP/IP поскольку через эти протоколы спам дескать рассылают...

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

38. "Уязвимость в store.kde.org и каталогах OpenDesktop" +1 +/–

Сообщение от Аноним (5), 26-Июн-21, 13:51

Я разрабатываю сайт. Логично что он у меня на локалхосте работает и без аутентификации. Сайт у меня подключен к базе, которая тоже на локалхосте. Да, доступ к базе по паролю, но доступ к сайту - нет. В базе лежат важные данные как то имена и емайлы. И теперь оказывается что любой ЖС на любом сайте имеет к ним доступ.

Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в store.kde.org и каталогах OpenDesktop" –1 +/–

Сообщение от Аноним (6), 26-Июн-21, 00:07

JavaScript. Нет рботы с памятью. Кто там кричал rust?

Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимость в store.kde.org и каталогах OpenDesktop" +/–

Сообщение от Аноним (37), 26-Июн-21, 13:20

А памято то тут причем? Ты бы хоть текст новости почитал...

Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в store.kde.org и каталогах OpenDesktop" +/–

Сообщение от Аноним (15), 26-Июн-21, 06:21

Flash - куча уязвимостей - плохо
JavaScript - куча+1 уязвимостей- хорошо
Что-то тут не так...

Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в store.kde.org и каталогах OpenDesktop" +/–

Сообщение от Аноним (8), 26-Июн-21, 09:06

Так флеш отключался, а это понятно нехорошо.

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в store.kde.org и каталогах OpenDesktop" +2 +/–

Сообщение от ыы (?), 26-Июн-21, 09:35

JS тоже.

Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость в store.kde.org и каталогах OpenDesktop" +1 +/–

Сообщение от Аноним (8), 26-Июн-21, 09:47

> JS тоже.
Единицы сайтов были завязаны на флеш (и для этих сайтов его можно было разрешить). Сегодня же, средний сайт требует сотен скриптов на десятках доменов и не может работать без них. А umatrix, кстати, всё.

Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в store.kde.org и каталогах OpenDesktop" +/–

Сообщение от ыы (?), 26-Июн-21, 09:50

50% сайтов в интернет это единицы?

Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в store.kde.org и каталогах OpenDesktop" +/–

Сообщение от Аноним (8), 26-Июн-21, 10:08

> 50% сайтов в интернет это единицы?
Порнобаннеры не считаем, сайтов с флешем было не больше сайтов с джавой (а скорее меньше).

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в store.kde.org и каталогах OpenDesktop" +/–

Сообщение от BrainFucker (ok), 26-Июн-21, 10:45

> джавой (а скорее меньше)
Под джавой ты тут что подразумеваешь, javascript или java applet? Если второе, то это не так.

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в store.kde.org и каталогах OpenDesktop" +/–

Сообщение от Аноним (8), 26-Июн-21, 10:57

Во всяком случае, я видел сайты, которые требовали жава апплет для работы (в том числе банки) в больших количествах, и практически ни одного сайта с флэшем (плеер для mpeg на узкоспецифичных сайтах не считается, тогда просто не было html5 с нормальной поддержкой воспроизведения мультимедии ещё).

Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимость в store.kde.org и каталогах OpenDesktop" +/–

Сообщение от BrainFucker (ok), 26-Июн-21, 11:11

Не считаю что это корректно исключать из выборки развлекательные сайты и называть их узкоспецифичными. Ютуб убрал флеш по интернет меркам совсем недавно, кстати.

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в store.kde.org и каталогах OpenDesktop" +/–

Сообщение от BrainFucker (ok), 26-Июн-21, 10:46

> А umatrix, кстати, всё.
Ну, пока работает. Будет ли дальше работать, зависит от того, не поломают ли API в Firefox.

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

41. "Уязвимость в store.kde.org и каталогах OpenDesktop" +/–

Сообщение от Аноним (37), 26-Июн-21, 16:12

Так здесь уязвимость не в самом JS (в нем вообще сложно найти уязвимость), а в разметке.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

20. "Уязвимость в store.kde.org и каталогах OpenDesktop" +/–

Сообщение от BrainFucker (ok), 26-Июн-21, 09:45

> Суть проблемы в том, что платформа Pling допускает добавление мультимедийных блоков в формате HTML, например, для вставки ролика с YouTube или изображения. Добавляемый через форму код не проверяется должным образом, что позволяет под видом изображения добавить код вида "<img src=x onerror=alert(1)>" и разместить в каталоге информацию, при просмотре которой будет запущен JavaScript-код. Если информация будет открыта пользователям, имеющим учётную запись, то можно инициировать совершение в каталоге действий от имени данного пользователя
Так из фрейма же нет доступа к родительскому окну/фрейму, если дочерний расположен на другом домене. Максимум можно только родительский редиректнуть, но это ни к ничего особо страшному не приведёт и палевно для злоумышленника. Или таки фрейм там встраивается с этого же домена?

Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в store.kde.org и каталогах OpenDesktop" +/–

Сообщение от ыы (?), 26-Июн-21, 10:12

Можно поставить в систему пакет, которого пользователь ставить не собирался.
Маленький несущественный пакетик из того же самого репозитория, который никому небыл до этого нужен и никто на него внимания не обращал. маленький пакетик который делает только разрешенные действия... например скачивает откуда то программки...не требующие инсталляции которые связываются с другими программками на других компах пользователей...и просто считают хэши...

Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимость в store.kde.org и каталогах OpenDesktop" +/–

Сообщение от Отражение луны (ok), 26-Июн-21, 14:16

Чтобы из браузера поставить пакет - тебе нужно вызвать xdg-open, и то - пакет откроется в магазине и тебе придется дополнительно нажать кнопку install.
Согласен с тем, что проблема раздута. Впрочем, очевидно, что действия от имени другого пользователя совершать таки действительно можно.

Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в store.kde.org и каталогах OpenDesktop" +/–

Сообщение от Аноним (45), 27-Июн-21, 02:49

Таких балбесов, как ты, ещё поискать

Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимость в store.kde.org и каталогах OpenDesktop" +/–

Сообщение от AleksK (ok), 01-Июл-21, 09:25

Как без пароля ты сможешь добавить репозиторий и тем более поставить из него пакет?

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

48. "Уязвимость в store.kde.org и каталогах OpenDesktop" +/–

Сообщение от darkshvein (ok), 29-Июн-21, 11:03

>JavaScript-кода в контексте других пользователей.
JS - язык, чтобы запрограммировать себе гарантированные выстрелы в ногу на всю жизнь.
и когда это гуано, я имею в виду JS выкинут из кед?

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимость в store.kde.org и каталогах OpenDesktop"	+21 +/–
Сообщение от Аноним (1), 25-Июн-21, 23:12
>Electron >без браузера Не знаю кому как, а мне эта шутка зашла.
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Уязвимость в store.kde.org и каталогах OpenDesktop"	+4 +/–
	Сообщение от InuYasha (??), 25-Июн-21, 23:19
	Я сдерживаюсь, как ведущий интервью с Ризитасом )
	Ответить \| Правка \| Наверх \| Cообщить модератору


	44. "Уязвимость в store.kde.org и каталогах OpenDesktop"	+1 +/–
	Сообщение от Ольбертович (?), 26-Июн-21, 20:56
	Hesuuuu ahi-ahi
	Ответить \| Правка \| Наверх \| Cообщить модератору


	47. "Уязвимость в store.kde.org и каталогах OpenDesktop"	+1 +/–
	Сообщение от Аноним (47), 27-Июн-21, 14:11
	В любой новости можно написать слово Электрон, и опеннетчики не увидят более ничего другого.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	49. "Уязвимость в store.kde.org и каталогах OpenDesktop"	+/–
	Сообщение от Аноним (49), 29-Июн-21, 11:55
	Не нравится писать "Electron", напиши "Rust".
	Ответить \| Правка \| Наверх \| Cообщить модератору


	50. "Уязвимость в store.kde.org и каталогах OpenDesktop"	+/–
	Сообщение от Аноним (49), 29-Июн-21, 11:57
	К Кедам это не имеет отношения.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

3. "Уязвимость в store.kde.org и каталогах OpenDesktop"	+2 +/–
Сообщение от InuYasha (??), 25-Июн-21, 23:21
> допускает добавление мультимедийных блоков в формате HTML, например, для вставки ролика с YouTube или изображения. Вот тут можно выносить. Эта проблема известна со времён форумов со вставкой чего-то большего, чем картинок. "мы хотим дать юзерам iframe-ы, но не хотим малвари" :)
Ответить \| Правка \| Наверх \| Cообщить модератору

4. "Уязвимость в store.kde.org и каталогах OpenDesktop"	+1 +/–
Сообщение от Аноним (4), 26-Июн-21, 00:06
Что-то в последнее время уязвимостей находят как из рога изобилия.
Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Уязвимость в store.kde.org и каталогах OpenDesktop"	+/–
	Сообщение от Аноним (14), 26-Июн-21, 02:07
	До этого никому дела не было пока работало. Что изменилось - политический контекст или наплыв буткемперов-ИБшников которым нужно оправдывать свои сертификаты чтобы получить работу, думайте сами.
	Ответить \| Правка \| Наверх \| Cообщить модератору

5. "Уязвимость в store.kde.org и каталогах OpenDesktop"	+1 +/–
Сообщение от Аноним (5), 26-Июн-21, 00:06
Про ocs-manager понравилось. По факту это Хром и ФФ проделали дыру вам в систему, а разрабы этот ocs-manager должны были это предвидеть, следить за новыми такими дырами и защищаться от них, потому что оказывается вдруг что любой вражеский JS код из браузера может слать любые запросы к моим любимым локалхост сервисам, специально забинженных на 127,0,0,1 ради безопасности. Но хром и фф писюн клали на безопасность.
Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Уязвимость в store.kde.org и каталогах OpenDesktop"	+1 +/–
	Сообщение от Аноним (4), 26-Июн-21, 00:08
	Популярные браузеры всегда кладут болт на пользователей
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Уязвимость в store.kde.org и каталогах OpenDesktop"	+/–
	Сообщение от Аноним (8), 26-Июн-21, 00:09
	Непопулярные не кладут?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Уязвимость в store.kde.org и каталогах OpenDesktop"	+10 +/–
	Сообщение от непопулярные (?), 26-Июн-21, 00:18
	А он уже лежал, когда мы делали форк, мы-то тут причем?!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Уязвимость в store.kde.org и каталогах OpenDesktop"	+/–
	Сообщение от Амоним (?), 26-Июн-21, 00:20
	кладут не болт
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	11. "Уязвимость в store.kde.org и каталогах OpenDesktop"	+1 +/–
	Сообщение от Аноним (11), 26-Июн-21, 00:26
	А Гайку и Вжика
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Уязвимость в store.kde.org и каталогах OpenDesktop"	+1 +/–
	Сообщение от Ordu (ok), 26-Июн-21, 01:03
	Винтика и Шпунтика
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Уязвимость в store.kde.org и каталогах OpenDesktop"	+1 +/–
	Сообщение от ыы (?), 26-Июн-21, 09:47
	Ну, положить Гайчку- еще куда ни шло... (экий проказник) но Вжика... извращенец вааще...
	Ответить \| Правка \| К родителю #11 \| Наверх \| Cообщить модератору


	43. "Уязвимость в store.kde.org и каталогах OpenDesktop"	+1 +/–
	Сообщение от Туши пукан васян (?), 26-Июн-21, 20:54
	Можешь Рокки положить если муха не нравится! Палка сыра и мышь твоя 🤣
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Уязвимость в store.kde.org и каталогах OpenDesktop"	+/–
	Сообщение от Аноним (16), 26-Июн-21, 08:57
	Наоборот заботятся. Говнобанки (как минимум 1 красного цвета, и это не альфа (альфой не пользовался) ) заставляют пользователей ставить говноприложения вместо того, чтобы использовать PKCS11. Эти говноприложения висят на localhost, и слушают http-запросы от веб-страниц, при поступлении запроса выводят окно, где надо ввести пароль для токена. Что будет, если в таком приложении найдётся уязвимость - догадаться нетрудно. Что будет, если в Хроме однажды эту уязвимость прибьют? Доля Хрома сильно упадёт, а доля Internet Explorer сильно возрастёт. Банку ведь срать, он вас за яйца держит, это он диктует вам, какой софт у вас на компе будет.
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору


	26. "Уязвимость в store.kde.org и каталогах OpenDesktop"	–1 +/–
	Сообщение от Dzen Python (ok), 26-Июн-21, 10:38
	> Так, банк, у тебя опаять отвалился IB, я, как владелец бизнеса, отзываю деньги со всех своих трех р/с, тендерного спецсчета и мелкого помойного полуанонимного счета на заранее созданные счета в других банках. В течении 30 банковских дней + писина куча бумажек? Щас... <звонок другу, в банк приехала проверка> Так, срок сократился до 10 банковских дней, половина бумажек оказывается не нужна, но управляющий лично хочет проверить движения? Щас... <катается жалоба в ЦБ, после чего завизированная ЦБ копия шлется в банк> Так, уже 3 дня и пара важных бумажек, и управляющий расхотел проверять? Доброго дня. Как будто банк действительно держит за яйца, забирая все содержимое счетов неустойкой, и не только собственная лень и НЕУДОСТВО не позволяют перейти в другой банк, или создать свой, получив у ЦБ аккредитацию.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Уязвимость в store.kde.org и каталогах OpenDesktop"	+2 +/–
	Сообщение от ыы (?), 26-Июн-21, 10:49
	>только собственная лень и НЕУДОСТВО не позволяют .. создать свой, Dzen Python золотой мальчик... для него 300 миллионов рублей это карманные деньги... http://znaydelo.ru/biznes/idei/kak-otkryt-bank.html А может просто приукрашать любит?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "Уязвимость в store.kde.org и каталогах OpenDesktop"	+2 +/–
	Сообщение от Майор (??), 26-Июн-21, 11:01
	>создать свой, получив у ЦБ аккредитацию На уставной капитал попросить у Dzen Python?
	Ответить \| Правка \| К родителю #26 \| Наверх \| Cообщить модератору


	33. "Уязвимость в store.kde.org и каталогах OpenDesktop"	+/–
	Сообщение от ыы (?), 26-Июн-21, 11:12
	"только собственная лень и НЕУДОСТВО не позволяют .. надыбать уставной капитал для открытия банка" (с) посвящается Dzen Python
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "Уязвимость в store.kde.org и каталогах OpenDesktop"	+/–
	Сообщение от Lex (??), 26-Июн-21, 11:39
	Эдак и свою водку можно официально производить и продавать.. Лицензия, правда, 8,5 млн руб - и это только официальные сборы. Само-собой требования к сертифицированному оборудованию, к производственным помещениям, к поставщикам, к интеграции с системами контроля итд итп никуда не деваются. Мистер всерьёз полагает, что в банковской сфере прямого и косвенного контроля меньше чем в производстве алкоголя ?)
	Ответить \| Правка \| К родителю #26 \| Наверх \| Cообщить модератору


	35. "Уязвимость в store.kde.org и каталогах OpenDesktop"	–1 +/–
	Сообщение от Dzen Python (ok), 26-Июн-21, 12:20
	Можно. Мистер говорит всего лишь, что банк всегда можно поменять, деньги со счетов - вывести, а не страдать и плакать, почему банк экономит на кодерах своих клиентских сервисов. Альзо при небходимости 300 миллионов может собрать даже средний холдинг на 2-3 региона присутствия. Не быстро, отлистал и пошел, полгода-год. Быстрее - если получить инвестиции от кого-то. Просто ребята не понимают порядок сумм на счетах даже у мелких ООО (не путать с засранскими ИП или мусорными ООО-под-ключ), 10-15 миллионов там в оперативном управлении вполне есть. > Мистер всерьёз полагает, что в банковской сфере прямого и косвенного контроля меньше чем в производстве алкоголя ?) Мистер видит кучу, нет ПИСИНУ КУЧУ мелких банков вокруг. Наверное - эти все офисы и работники там - иллюзия, а в стране работает только спермбанк, втб, олежа и альфа.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Уязвимость в store.kde.org и каталогах OpenDesktop"	+/–
	Сообщение от Lex (??), 26-Июн-21, 14:12
	Банк - это не из разряда «одному среднестатистическому человеку не понравились условия банка поэтому он сделал свой - как ип сделать, только банк». Хотя ты выше заявлял ровно об обратном, обвиняя собеседников в лени. Это что-то, что должно приносить соразмерную прибыль, поскольку расходов оно требует постоянных и серьезных. Не надо путать оборот и те суммы, которые можно просто взять и потратить на непрофильную деятельность, вдобавок, имеющиеся на счетах «прямо сейчас» в виде «живых» денег. В регионах не так уж и много подобных ООО. Если предположить, что «чистыми» получаются порядка 5% выручки( что нечасто. Нередко ещё ниже ) то для накопления 300млн руб речь о: 300 / 800 * 0,05 = 7,5 лет, в течение которых придётся копить всю прибыль максимально крупного малого предприятия( до 100 чел персонала ) только для начала работы по организации банка. 300 / 2 000 * 0,05 = 3 года придётся копить максимально крупному среднему предприятию( до 250 чел персонала ) Те банки не столь уж и мелкие. Это банки не уровня СНТ или деревни.. нередко, даже не уровня города, а, как минимум, региона, а то и нескольких.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	36. "Уязвимость в store.kde.org и каталогах OpenDesktop"	+/–
	Сообщение от Аноним (-), 26-Июн-21, 12:45
	> Что будет, если в Хроме однажды эту уязвимость прибьют? Доля Хрома сильно > упадёт, а доля Internet Explorer сильно возрастёт. Банку ведь срать, он > вас за яйца держит, это он диктует вам, какой софт у вас на компе будет. Ты эта, не расстраивайся сильно ... но за стопервым километром не только псоглавцы обитают!
	Ответить \| Правка \| К родителю #16 \| Наверх \| Cообщить модератору


	42. "Уязвимость в store.kde.org и каталогах OpenDesktop"	+/–
	Сообщение от уууу (?), 26-Июн-21, 18:08
	а кто ещё? псозадцы?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	46. "Уязвимость в store.kde.org и каталогах OpenDesktop"	+/–
	Сообщение от bergentroll (ok), 27-Июн-21, 07:47
	Котолапцы и жабогласцы.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Уязвимость в store.kde.org и каталогах OpenDesktop"	–1 +/–
	Сообщение от ыы (?), 26-Июн-21, 09:33
	Есть довольно много локалхост сервисов которые будучи написанные профессионально - имеют аутентификацию пользователя вне зависимости от того на локалхост они привязаны или не на локалхост. А если конкретно вы, когда пишите сервисы привязанные к локалхост- не вписываете им аутентификацию для критичных действий- ну вы сами себе дырки делаете. Настройте файрвол. Не пищите больше сервисов. Или не жалуйтесь. А то что можно из скрипта на JS можно сделать сетевое соединение- это часть языка, и браузер тут не при чем. А то вы как те олухи которые требуют запретить TCP/IP поскольку через эти протоколы спам дескать рассылают...
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору