Войти в систему

Home
    - Создать дневник
    - Написать в дневник
       - Подробный режим

LJ.Rossia.org
    - Новости сайта
    - Общие настройки
    - Sitemap
    - Оплата
    - ljr-fif

Редактировать...
    - Настройки
    - Список друзей
    - Дневник
    - Картинки
    - Пароль
    - Вид дневника

Сообщества

Настроить S2

Помощь
    - Забыли пароль?
    - FAQ
    - Тех. поддержка



Пишет Misha Verbitsky ([info]tiphareth) в [info]ljr_todo
@ 2012-01-16 07:56:00
Previous Entry  Add to memories!  Tell a Friend!  Next Entry
фишинг в LJ
Последняя фишинговая атака на livejournal:
http://labas.livejournal.com/951363.html
зловредный код тут
https://gist.github.com/1615426
вопрос - а можно (и нужно ли) поправить
http://cvs-ljr.lenin.ru/cgi-bin/viewvc.cgi/LJR/local/cgi-bin/cleanhtml.pl
чтобы подобное было невозможно? То есть, что конкретно в CSS
надо запретить?

(Добавить комментарий)


[info]mironovd
2012-01-16 02:07 (ссылка)
Судя по всему, что-то вроде ".b-fader { display: none;}". Но я не проверял...

(Ответить) (Ветвь дискуссии)


[info]mironovd
2012-01-16 02:15 (ссылка)
Хм... Какой же бардак в cleanhtml.pl...

(Ответить) (Уровень выше)


[info]tiphareth
2012-01-16 03:13 (ссылка)
не, b-fader это названия кастомного лэйера для CSS
(то есть он его определяет у себя в тексте)

(Ответить) (Уровень выше)


[info]mironovd
2012-01-16 02:28 (ссылка)
if ($tag eq "div" && lc $attr->{class} eq "b-fader") {
$start_capture->($tag,$token, sub {});
next TOKEN;
}


Как-то так...
Где-то после 271 строки...
Не уверен, что будет работать. Но логика вроде бы такая.

(Ответить) (Ветвь дискуссии)


[info]tiphareth
2012-01-16 03:14 (ссылка)
гугль нигде не находит b-fader, кроме как в тексте фишингового сообщения

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]mironovd
2012-01-16 03:18 (ссылка)
Этот класс есть в текущем CSS жжшечки. Нахуя нужен - не понятно.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]tiphareth
2012-01-16 03:22 (ссылка)
тогда нам его какбе и незачем запрещать, не?
так что, у нас, получается, к этой атаке иммунитет? славно

(Ответить) (Уровень выше) (Ветвь дискуссии)

От Темы
[info]soldat31
2012-01-16 06:05 (ссылка)
Нет иммунитета.

(Ответить) (Уровень выше)


[info]silly_sad
2012-01-16 08:05 (ссылка)
я бы забацал "strip html tags" из всех сообщений.
все остальные варианты, так или иначе дырявы.

тут сама филисофия хэтэмээля против нас.

(Ответить) (Уровень выше)


[info]olegmi
2012-01-16 06:25 (ссылка)
На мой вкус - лучше запретить CSS. Все, что он дает, можно заделать на HTML с меньшим количеством глюков.

(Ответить)


[info]silly_sad
2012-01-16 08:02 (ссылка)
> что конкретно в CSS надо запретить?

CSS

(Ответить) (Ветвь дискуссии)


[info]z
2012-01-16 10:44 (ссылка)
Еще надо вернуть фреймы и убрать доктайп, он ведь все равно не нужен, как писали несколько лкт назад на сайте студии Лебедева.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]silly_sad
2012-01-16 11:10 (ссылка)
doctype mist die вне всякого сомнения.

а фрэймы возвращать не надо потому что у каждого тэга должен быть src

(Ответить) (Уровень выше)

Вот фрагмент их стилей
[info]z
2012-01-16 08:36 (ссылка)
/* Fader
--------------------------- */
/* Must be removed after implementation of Framework! */
.b-fader {
position: fixed;
top: 0;
left: 0;
width: 100%;
height: 100%;
z-index: 3000;
background: #000;
opacity: 0.6;
}
Этот класс позволяет поставить блок с фиксированной позицией в левом верхнем углу поверх всех блоков, судя по комментариям он использовался при отладке и его просто не убрали. В жж стилях и скриптах давно уже полный бардак, по причине тупых безграмотных рукожопых мудаков.

А запрещать нужно не в CSS, а в серверной части, как уже было сказано - strip html tags или что-то подобное, потому как возможность постить хтмл c атрибутами уже зло.

(Ответить) (Ветвь дискуссии)

Re: Вот фрагмент их стилей
[info]z
2012-01-16 09:02 (ссылка)
А в зловредном коде внутри формы еще такая радость есть:

img srс="http://ohtoenequ1.getenjoyment.net/index.php"

Пиздец, конечно.

(Ответить) (Уровень выше)

Re: Вот фрагмент их стилей
[info]tiphareth
2012-01-16 10:32 (ссылка)
запрещать CSS целиком нельзя, нас не поймут и осудят
(сколько было воплей, чтоб включили флеш)

(Ответить) (Уровень выше) (Ветвь дискуссии)

Правильно, кстати, осудят
[info]z
2012-01-16 10:43 (ссылка)
В отличие от флэша, CSS вещь правильная и необходимая - отделение оформления элементов от их содержания никому не вредит.

В жежешечкиных стилях и скриптах лютый бардак,обусловленный в первую очередь низкой квалификацией верстальщиков и программистов. Такое чувство, что начинали писать одни люди, потом дописывали другие, потом пришли третьи и не почитав код, добавили еще хуйни от себя. Запрещать нужно в первую очередь Дронова.

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: Правильно, кстати, осудят
[info]silly_sad
2012-01-16 11:12 (ссылка)
нет никакого отделения оформления пока существует сраный html в котором есть разные тэги.

(Ответить) (Уровень выше)

Re: Правильно, кстати, осудят
[info]ketmar
2012-01-17 23:18 (ссылка)
>Такое чувство, что начинали писать одни люди, потом дописывали другие, потом
>пришли третьи и не почитав код, добавили еще хуйни от себя
ИЧСХ, ведь именно так всё и было.

(Ответить) (Уровень выше)

Re: Вот фрагмент их стилей
[info]silly_sad
2012-01-16 11:11 (ссылка)
я воплю чтобы его выключили!!!!!!!!!!!!!!!!!!!!!!

(Ответить) (Уровень выше)

Re: Вот фрагмент их стилей
[info]silly_sad
2012-01-16 11:11 (ссылка)
флэш надо выключить нахуй! это зло!!!!

(Ответить) (Уровень выше)

Re: Вот фрагмент их стилей
[info]ketmar
2012-01-17 23:18 (ссылка)
в идеале — надо сделать своё подмножество «безопасного CSS» и парзер к нему. но на практике заниматься этим некому.

(Ответить) (Уровень выше)


[info]soldat31
2012-01-16 08:58 (ссылка)
http://pastie.org/3188498

(Ответить)