Вчера (а может, и раньше) у пользователей LiveJournal.com появилась новая игрушка - "расти, колбаса".
Умные дяди проанализировали её код и обнаружили, что эта игрушка использует достаточно серьёзную дыру в движке ЖЖ.
Когда выходишь в инет, почему-то первому попавшемуся линку не доверяешь. Когда попадаешь на просторы ЖЖ, почему-то начинает казаться, что все братья - сестры, мир-дружба-жвачка, и все такое. И когда обнаруживается, что и в ЖЖ первый попавшийся линк открывать не стоит, потому что контингент попадается разный, возникает недоумение, смешанное с возмущением. С ума сойти, оказывается ключи от квартиры не стоит давать не только первому встречному, но и хорошему знакомому. Чудеса какие.
Беда в том, что мошенники этим пользуются и в результате появляются сообщения от имени потерпевших, сделанные не ими. В общем, очень похоже на проблемы с электронной почтой.
...если человек, будучи залогиненным на каком-либо сайте, соглашается запустить на этом же сайте от своего имени код на JavaScript (о чем его, кстати, честно предупредили), он не должен сильно удивляться, если этот скрипт от его имени сделает что угодно :) Последствия полностью аналогичны XSS, за исключением того, что скрипт запускает сам юзер своими руками.
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
