Wanderer (lair) wrote,
Wanderer
lair

О «колбасном баге»

Вчера по ЖЖ гуляла эпидемия так называемой «колбасы» — развлечения, основанного на действиях некого скрипта, который использовал дырку в безопасности ЖЖ для того, чтобы запостить в ЖЖ залогиненного на данный момент пользователя текст оной колбасы.

Смысл дырки: если у вас стоит в настройках ЖЖ Always login, включен JavaScript, то спровоцировав ваш заход по ссылке, можно сделать любые действия так, как если бы они совершались вами. Механизм работы основан на одном из текущих способов аутентификации в ЖЖ с помощью cookie (девелоперы поймут сами). Этот механизм неплохо раскопал darkman666: описание принципа, пример использования (эти ссылки ведут в ЖЖ и не провоцируют использования ЖЖ без вашего ведома).

Пути защиты на текущий момент:

  • отключить Always login

  • в настройках IE (у кого IE) в настройках зоны безопасности поставить Submit unencripted form data: prompt. Это сильно ухудшит гуляние по интернету, но спасет от использования этой дырки



А так — было бы неплохо, если бы эту дырку закрыли на сервере, пусть и закрыв, тем самым, возможность постить с других сайтов (или заставив явно указывать пароль при таком постинге).

Дискуссия по этому поводу идет в rulj.
Subscribe
Comments for this post were disabled by the author