| Autor | Zpráva | ||
|---|---|---|---|
| _es Profil |
#1 · Zasláno: 19. 8. 2011, 09:42:46 · Upravil/a: _es
Pri pokuse o spustenie kódu vo Firefoxe 6.0 v adresovom riadku
javascript:alert(0); mi to píše v chybovej konzole chybu:
Chyba: uncaught exception: ReferenceError: alert is not defined Pritom rovnaký kód bez problémov funguje z odkazu aj z bookmarkletu. Nevie niekto, či sa jedná o nejakú chybu Firefoxu, alebo to je tak z nejakého dôvodu spravené naschvál, alebo je chyba u mňa... |
||
| Joker Profil |
#2 · Zasláno: 19. 8. 2011, 09:59:08
_es:
StackOverflow: „It seems using javascript: and data: URLs (directly in the address bar) are currently not allowed“ = Zdá se, že adresy javascript: a data: (přímo z adresního řádku) v současné době nejsou dovoleny (v souvislosti s chybou 527530) |
||
| Mike8748 Profil |
#3 · Zasláno: 19. 8. 2011, 10:12:09
https://developer.mozilla.org/en/Firefox_6_for_developers
poslední bod u DOM nicméně k dispozici je ScratchPad (kl. zkratka Shift+F4) |
||
| _es Profil |
#4 · Zasláno: 19. 8. 2011, 10:14:03
Joker:
„Zdá se, že adresy javascript: a data: (přímo z adresního řádku) v současné době nejsou dovoleny“ Protokol javascript: povolený je, len to vyzerá, že taký kód nemá prístup k metódam DOM a prehliadača.
|
||
| Joker Profil |
#5 · Zasláno: 19. 8. 2011, 10:14:50
_es:
„len to vyzerá, že taký kód nemá prístup k metódam DOM a prehliadača“ Je to tak, viz Mike8748. |
||
| Chamurappi Profil |
#6 · Zasláno: 19. 8. 2011, 10:24:31 · Upravil/a: Chamurappi
Reaguji na Jokera:
Aha, tak oni to všichni dělají úmyslně kvůli hloupým uživatelům? To je škoda. Byl jsem zvyklý přes adresní řádek ledacos zkoušet (bez nutnosti spouštět něco složitějšího). Z hlediska neznalého pozorovatele jsem při tom vždy vypadal jako šaman, u nových prohlížečů vypadám jako vůl :-) Pročítám si argumenty na Bugzille a moc se mi nelíbí. Neučinil bych stejné rozhodnutí. Za to, co se píše do adresního řádku, nese plnou odpovědnost uživatel. Reaguji na Mika8748: „nicméně k dispozici je ScratchPad (kl. zkratka Shift+F4)“ Takže všechny zákeřné sociálně inženýrské útoky, které nabádaly „vložte tento text do adresy“, stačí doplnit o „pokud to nejde, stiskněte Shift+F4 a vložte text tam“ :-) |
||
| Joker Profil |
#7 · Zasláno: 19. 8. 2011, 10:41:59
Chamurappi:
„To je škoda. Byl jsem zvyklý přes adresní řádek ledacos zkoušet“ Mám z toho stejný pocit. |
||
| _es Profil |
#8 · Zasláno: 19. 8. 2011, 10:51:21 · Upravil/a: _es
Dá sa to aspoň nejako zrušiť v
about:config? Nepodarilo sa mi prísť na to ani vyhľadať, či vôbec a ako sa to dá.
Chamurappi: „u nových prohlížečů vypadám jako vůl :-)“ Ako zachránená obeť sociálneho inžiniera :-) „stačí doplnit o ‚pokud to nejde, stiskněte Shift+F4 a vložte text tam‘ :-)“ To sa už viac podobá na nebezpečnú konzolu OS:-) Časom tam možno bude doplnená nejaká výrazná hláška o sociálnych inžinieroch alebo to bude dostupné až po odkliknutí uvedomenia si všetkých možných nebezpečenstiev. Ešte je možné potenciálnej obeti poradiť, nech si stránku pridá medzi „Záložky“ - na bookmarklety našťastie obmedzenie neplatí - snáď sú dosť používané na to, aby u nich nenastalo nejaké obmedzenie. |
||
| margin Profil * |
#9 · Zasláno: 19. 8. 2011, 13:13:05
_es:
„Pritom rovnaký kód bez problémov funguje z odkazu aj z bookmarkletu.“ Je to postavené na hlavu, chápal bych, kdyby tomu bylo naopak. Nebo je to zakuklený marketingový tah, jak protlačit ScratchPad? |
||
| _es Profil |
#10 · Zasláno: 19. 8. 2011, 13:49:20
margin:
„Je to postavené na hlavu, chápal bych, kdyby tomu bylo naopak.“ Bookmarklet slúži primárne na spustenie JS v kontexte stránky, adresový riadok slúži primárne na zadanie adresy, teda to určitý zmysel má. Útočníkovi stačí na vyčítanie informácii z aktuálnej stránky poradiť nejakú „stránku“ ktorá však nebude vo forme odkazu, ale obyčajného textu, zatiaľ čo vytvorenie JS odkazu diskusie a sociálne siete nepovoľujú. |
||
| Chamurappi Profil |
#11 · Zasláno: 19. 8. 2011, 16:37:43
Reaguji na _es:
„na bookmarklety našťastie obmedzenie neplatí“ Ale podle toho Jokerova odkazu nějaká stejně zavedou, člověk bude muset explicitně povolovat. „To sa už viac podobá na nebezpečnú konzolu OS:-)“ Vložení nesrozumitelného kousku textu do adresního řádku vypadá bezpečněji? Pokud uživatel aktivně spolupracuje s útočníkem, tak ho tato inovace stejně nezastaví. |
||
| _es Profil |
#12 · Zasláno: 19. 8. 2011, 16:55:38
Chamurappi:
„Vložení nesrozumitelného kousku textu do adresního řádku vypadá bezpečněji?“ Niekto málo znalý môže čakať, že vloženie niečoho do adresného riadka spôsobí načítanie nejakej odlišnej stránky - ako pri protokole HTTP, nie modifikáciu stránky a zistenie všetkých informácií o stránke ako pri záškodníckom kóde v protokole javascript:
|
||
| margin Profil * |
#13 · Zasláno: 21. 8. 2011, 10:50:48
Muhele, to jsou věci, když nefunguje
javascript:, budeme tam prát kód jako data:, než to nějaký chytrolín odhalí a další moula zakáže:
data:text/html,<script>alert(0);</script> |
||
| DoubleThink Profil * |
#14 · Zasláno: 21. 8. 2011, 11:26:42
margin:
Jenže to otevře novou stránku, což je na nic. |
||
| margin Profil * |
#15 · Zasláno: 21. 8. 2011, 11:41:15
DoubleThink:
Chytám se za hlavu, bohužel jsem testoval jen na čisté stránce, a přívalu radosti, že "to" funguje, jsem si to neuvědomil. Máš pravdu, načte se nová stránka. |
||
| Medvídek Profil |
#16 · Zasláno: 21. 8. 2011, 11:49:41 · Upravil/a: Medvídek
Zvláštní je, že pokud si dám do lišty záložek odkaz
javascript:(function(){var%20script=document.createElement('script');script.src='http://mir.aculo.us/dom-monster/dommonster.js?'+Math.floor((+new%20Date)/(864e5));document.body.appendChild(script);})()
tak to funguje, pokud vložím přímo do adresního řádku tak ne. |
||
|
Časová prodleva: 3 roky
|
|||
| _es Profil |
Chamurappi:
„Takže všechny zákeřné sociálně inženýrské útoky, které nabádaly ‚vložte tento text do adresy‘, stačí doplnit o ‚pokud to nejde, stiskněte Shift+F4 a vložte text tam‘ :-)“ Bohužiaľ došlo už aj na ochranu pred touto možnosťou. Nevie niekto, ako vypnúť túto „ochranu“? Po Ctrl+V mi to vypisuje v slovenskej verzii nejakú hlášku, z ktorej som akosi nepochopil, ako to vypnúť. Už som na prišiel: Treba tam napísať: 'povolit vkladanie'. Presne tak, ako to je - bez mäkčeňa.
„stačí doplnit o ‚pokud to nejde, stiskněte Shift+F4 a vložte text tam‘ :-)“ Teraz bude treba verzia: „Stlačte Shift+F4, napíšte tam 'povolit vkladanie' a vložte text tam“.
|
||
|
Časová prodleva: 10 let
|
|||
0