The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

15.12.2018 09:29  Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая браузеры на базе Chromium

Во встраиваемой СУБД SQLite выявлена критическая уязвимость, которую можно использовать для совершения удалённой атаки на приложения для выполнения кода злоумышленника. Уязвимость может быть эксплуатирована в случае если приложение допускает передачу в SQLite SQL-конструкций, поступающих извне, или когда приложение допускает обработку подготовленных пользователем бинарных файлов с базой SQLite (например, когда файл с базой используется как формат для переноса данных).

Наибольшую опасность уязвимость представляет для пользователей браузера Chrome и приложений, использующих движок Chromium. Атака на Chromium возможна через манипуляцию с API WebSQL, который реализован поверх SQLite и подразумевает использование данной СУБД для обработки SQL-запросов из web-приложений. Для атаки достаточно создать страницу с вредоносным JavaScript-кодом и добиться чтобы пользователь открыл её в браузере на базе движка Chromium.

Firefox удалённой уязвимости не подвержен так как разработчики Mozilla в своё время отказались от реализации WebSQL в пользу API IndexedDB. SQLite используется в Firefox для хранения внутренних БД на диске, которые недоступны для отправки в них произвольных SQL-запросов из Web. Эксплуатации уязвимости в Firefox можно добиться только через замену этих БД или внесения повреждений на низком уровне, но подобная атака бессмысленна, так как должна быть совершена пользователем, уже имеющим доступ на запись к локальной файловой системе.

Детали уязвимости и метод эксплуатации пока не раскрываются чтобы дать пользователям время на установку обновлений. Наличие уязвимости подтверждено компанией Google. Более того, подготовлен работающий эксплоит для атаки на смартдинамик Google Home. Проблема уже исправлена в недавно сформированных выпусках Chrome/Chromium 71.0.3578.80 и SQLite 3.26. Особенно важно проконтролировать обновление сторонних браузеров на базе движка Chromium, которые не всегда оперативно доводят исправления до пользователей. Идентификатор CVE пока не назначен, но проблеме уже присвоено кодовое имя Magellan.

Судя по недавним изменениям в SQLite предполагается (подтверждено создателем SQLite), что уязвимость вызвана устранённым в выпуске 3.25.3 целочисленным переполнением в реализации движка полнотекстового поиска FTS3, которое могло привести к переполнению буфера в случае повреждения индекса. Для повреждения индекса могли использоваться манипуляции с теневыми таблицами (shadow tables), особым видом виртуальных таблиц с возможностью записи. В SQLite 3.26.0 обеспечен запрет на запись в теневые таблицы, действующий при включении режима SQLITE_DBCONFIG_DEFENSIVE (запрещает возможности, которые могут привести к повреждению БД через SQL, и рекомендуется для включения в случае, если SQLite должен обрабатывать непроверенные внешние SQL-запросы).

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: В Bash выявлено ещё четыре уязвимости, эксплуатируемые через переменные окружения
  3. OpenNews: Критическая уязвимость в bash, которая может привести к удалённому запуску команд (дополнено)
  4. OpenNews: Опубликованы детали критической уязвимости в MySQL и MariaDB
  5. OpenNews: Критическая root-уязвимость в MySQL
  6. OpenNews: Уязвимость в MySQL, позволяющая поднять свои привилегии
Лицензия: CC-BY
Тип: Интересно / Проблемы безопасности
Ключевые слова: sqlite, chromium
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, КГБ СССР (?), 10:19, 15/12/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +5 +/
    Если вдруг не все в курсе, данные ваших гуглопрофилей локально хранятся в сабже.
     
     
  • 2.22, Аноним (22), 14:11, 15/12/2018 [^] [ответить]    [к модератору]
  • +5 +/
    Firefox тоже хранит кое-что в сабже, только проблема не в этом. И в новости это написано. :)
     
     
  • 3.25, КГБ СССР (?), 14:15, 15/12/2018 [^] [ответить]    [к модератору]
  • +1 +/
    Ага. В моих уже удалённых бдунами комментариях было про это вскользь (про 2-й и 3-й абзацы). И про то, что половина опеннетовских анонимов не понимает смысл прочитанного.
     
     
  • 4.70, Аноним (-), 18:34, 16/12/2018 [^] [ответить]    [к модератору]
  • +/
    Небось как обычно, ругался хуже почтового грузчика :)
     
     
  • 5.73, КГБ СССР (?), 21:09, 16/12/2018 [^] [ответить]    [к модератору]
  • +6 +/
    > Небось как обычно, ругался хуже почтового грузчика :)

    Ну как тебе сказать. Всего лишь честно и справедливо обнародовал о своих наблюдениях, что только умственно отсталые (пример в комменте № 3) могут прочитать статью и нифига из неё не понять, и что на небольшой выборке комментариев к этой статье отлично видно, что половина активных опеннетовских анонимных экспертов абсолютно не понимает смысл прочитанного. Но хвостатые здесь в большом фаворе — минусуют всякую здравую мысль, пишут жалобы и доносы, а не слишком отличающиеся от хвостатых местные бдуны трут реально ценные комментарии. Это, конечно, фейспалм. В итоге сайт вместо полезной информации от компетентных комментаторов содержит какие-то пустые анонимные слюнявые замеры линуксами. Парламент не место для дискуссий, ага.

     
     
  • 6.94, Аноним (-), 01:44, 18/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Насчет 3 вынужден согласиться - этот таки лоханулся по полной программе, не поня... весь текст скрыт [показать]
     
  • 2.107, Аноним (107), 14:46, 18/12/2018 [^] [ответить]    [к модератору]  
  • +/
    И что с того? Ты будешь сам себя атаковать?
     
     
  • 3.108, Аноним (107), 14:50, 18/12/2018 [^] [ответить]    [к модератору]  
  • +/
    А, сам въехал в чём косяк. Ну Гуглу всё пофиг, к нему не липнет.
     
  • 1.2, КГБ СССР (?), 10:19, 15/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –4 +/
    Всё-таки в Гугле уникальный заповедник альтернативно одарённых.
     
     
  • 2.3, Нанобот (ok), 10:31, 15/12/2018 [^] [ответить]    [к модератору]  
  • –11 +/
    ошибка в sqlite, а винован гугл...по-моему кто-то сегодня забыл принять свои таблетки
     
     
  • 3.6, dep346 (ok), 10:45, 15/12/2018 [^] [ответить]    [к модератору]  
  • +10 +/
    Гугл открыл почти прямой доступ из любых веб-страниц к чужому коду, который сам Гугл не контролирует, и который может выполнить в системе много чего, так что все последствия и не просчитаешь. Ну да, Гугл не виноват.
     
     
  • 4.9, Аноним (9), 10:57, 15/12/2018 [^] [ответить]    [к модератору]  
  • +12 +/
    >Гугл открыл почти прямой доступ из любых веб-страниц к чужому коду, который сам Гугл не контролирует, и который может выполнить в системе много чего, так что все последствия и не просчитаешь.

    Так приходится делать всем. Все браузерные и небраузерные движки рендеринга используют libjpg, libpng, lib<что-нибудь для декодирования видео>, напр. stagefright, под виндой все используют ядерный парсер шрифтов, для регулярок весьма вероятно что все используют либо libpcre2, либо встроенные в сишку. Не говоря уже о WebGL, где недоверенный шейдер передаётся драйверу видеокарты, которые никто не обновляет, потому что запланированное устаревание.

     
     
  • 5.11, Аноним (11), 11:14, 15/12/2018 [^] [ответить]    [к модератору]  
  • +/
    > для регулярок весьма вероятно что все используют либо libpcre2, либо встроенные в сишку

    Это просто праздник какой-то.

     
  • 5.13, dep346 (ok), 11:18, 15/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Одно дело декодер какого-то формата, другое - язык с широкими возможностями для массового выполнения операций над постоянно хранимыми данными.
     
     
  • 6.15, Аноним (15), 12:26, 15/12/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    И в чём же принципиальная разница?
     
     
  • 7.37, аноним3 (?), 17:02, 15/12/2018 [^] [ответить]    [к модератору]  
  • +/
    да никакой. и то и то может ломануть твои данные и систему))
     
  • 7.60, Аноним (-), 15:17, 16/12/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    В количестве вариантов действий у атакующего и возможности все это предсмотреть ... весь текст скрыт [показать]
     
     
  • 8.72, Аноним (9), 21:01, 16/12/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    SQLite - для десктопов и эмбеддеда В ванильной SQLite этого нет, и даже плагина... весь текст скрыт [показать]
     
     
  • 9.95, Аноним (-), 01:53, 18/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Это не помешало наворотить фич и в нем И Bobby Tables таки и на него распостран... весь текст скрыт [показать]
     
  • 8.77, КГБ СССР (?), 21:28, 16/12/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Ты думаешь, что Гугель глюпий и не знает, что делает Уверяю тебя, анон, они ... весь текст скрыт [показать]
     
     
  • 9.96, Аноним (-), 01:54, 18/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Да запросто Посмотри сколько проектов они сливают Они могут позволить себе пиж... весь текст скрыт [показать]
     
  • 5.20, тоже Аноним (ok), 13:46, 15/12/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > Так приходится делать всем.

    См. тут же в статье про FF, который ТАК делать не стал. Прекрасно понимая, куда эта дорога ведет.

     
     
  • 6.36, irinat (ok), 17:02, 15/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Нет, они просто любят Javascript Всё равно придётся делать API, которое позволи... весь текст скрыт [показать]
     
     
  • 7.44, тоже Аноним (ok), 18:04, 15/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Вообще-то это просто понимание азов грамотной архитектуры: на таком высоком уровне, как работа с клиентом, не должно быть никакой информации о таком низком уровне, как работа с БД.
     
  • 6.71, kai3341 (ok), 21:01, 16/12/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Гораздо выше вероятность, что FF едва шевелится, чтобы внедрять экспериментальны... весь текст скрыт [показать]
     
     
  • 7.79, тоже Аноним (ok), 09:52, 17/12/2018 [^] [ответить]    [к модератору]  
  • +/
    А потом на мобильном Хроме ваш сайт просто валится вместе с браузером от нехватки памяти.
     
     
  • 8.80, kai3341 (ok), 14:13, 17/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Вы правы, однако, как говорил Чапаев, есть один нюанс Приложение ворочается в и... весь текст скрыт [показать]
     
     
  • 9.83, тоже Аноним (ok), 14:58, 17/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Этот "нюанс" говорит о том, что ваш клиент вообще совершенно необязательно было делать в браузере.
     
     
  • 10.86, kai3341 (ok), 16:51, 17/12/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Спасибо, поржал Потом бегай по пользователям да обновляй А ещё делай клиента п... весь текст скрыт [показать]
     
     
  • 11.87, нах (?), 17:49, 17/12/2018 [^] [ответить]     [к модератору]  
  • +/
    п-ц Вы только что видели ренгеновский снимок содержимого головы типового разраб... весь текст скрыт [показать]
     
     
  • 12.88, Аноним (88), 19:11, 17/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Веб-морда как раз и позволяет держать весь "функционал" "внутри сервера"
     
     
  • 13.92, тоже Аноним (ok), 23:24, 17/12/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > Веб-морда как раз и позволяет держать весь "функционал" "внутри сервера"

    Вот только товарищу при этом неудержимо требуется держать мегабайты состояния на клиентских машинах.

     
     
  • 14.103, КГБ СССР (?), 08:52, 18/12/2018 [^] [ответить]     [к модератору]  
  • +/
    171 Память и працэсары нынче дишовае А ты чо, бедный, денех нету Или работат... весь текст скрыт [показать]
     
  • 12.89, КГБ СССР (?), 19:20, 17/12/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Пока они пишут «клиенты под все платформы», ещё не страшно. Когда они начинают писать автопилоты для машин, я начинаю реально бояться выходить на улицу.
     
     
  • 13.91, topin89 (?), 23:19, 17/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Для россиян разработали инструкцию по поведению рядом с беспилотными автомобиля... весь текст скрыт [показать]
     
     
  • 14.106, нах (?), 12:37, 18/12/2018 [^] [ответить]     [к модератору]  
  • +/
    думаешь, в благословенной Америке инструкция какая-то другая ну хотя, да - сид... весь текст скрыт [показать]
     
  • 11.90, тоже Аноним (ok), 23:17, 17/12/2018 [^] [ответить]    [к модератору]  
  • +/
    > бегай по пользователям да обновляй

    Софт для интранет-сервера. В локалке с серверами. "Бегай".
    Oook.

     
     
  • 12.93, kai3341 (ok), 01:09, 18/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Хорошая попытка, но прав админа у меня не было, чтобы обновить приложение домено... весь текст скрыт [показать]
     
     
  • 13.100, Аноним (-), 02:13, 18/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Ну так апдейтить наверное должны админы А так звучит как отчет очередного энике... весь текст скрыт [показать]
     
  • 13.102, тоже Аноним (ok), 08:22, 18/12/2018 [^] [ответить]    [к модератору]  
  • +/
    > Если бы ты работал хоть где-нибудь

    Где админские права выдаются только прибежавшему? Боже упаси.

     
  • 9.98, Аноним (-), 02:00, 18/12/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Вообще-то оптимальность выбора того и другого зависит от задачи И там дело дале... весь текст скрыт [показать]
     
     
  • 10.111, kai3341 (ok), 18:24, 18/12/2018 [^] [ответить]     [к модератору]  
  • +/
    gt оверквотинг удален Два чаю вам за конструктивный комментарий Вы полностью ... весь текст скрыт [показать]
     
  • 6.97, Аноним (-), 01:56, 18/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Что-то они плохо поняли с своим 0day в смотрелке пдфок Казалось бы что им стоил... весь текст скрыт [показать]
     
  • 5.26, Аноним (9), 14:30, 15/12/2018 [^] [ответить]    [к модератору]  
  • +/
    вернее не в сишке, а в плюсах
     
     
  • 6.38, аноним3 (?), 17:03, 15/12/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    ты прав си как то позабыли. все на ++ ушли.
     
     
  • 7.58, Аноним (-), 01:17, 16/12/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Отучаемся говорить за всех. Особенно нагло смотрится в ветке про _сишную_ либу.
     
     
  • 8.59, аноним3 (?), 03:46, 16/12/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    не помню такой либы.))) и вообще переходи на богомерзкий джаваскрипт и не мучай народ.ахаха
     
     
  • 9.62, Аноним (-), 15:24, 16/12/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Я бы сказал что он скорее багомерзкий - из-за своего дизайна Чудно устроен - си... весь текст скрыт [показать]
     
  • 5.31, пох (?), 15:38, 15/12/2018 [^] [ответить]    [к модератору]  
  • +7 +/
    ну так по этой причине нормальные люди и проклинали изобретателей webненужно и продолжают это делать, изобретая все менее и менее надежные способы поотключать то, что макаки надизайнили.

    Но тут гугль превзошел самого себя, поскольку этот api - ненужно в квадрате.

     
     
  • 6.55, КГБ СССР (?), 22:58, 15/12/2018 [^] [ответить]     [к модератору]  
  • +/
    ИЧСХ, это пропихнули в типа-стандарты https www w3 org TR webdatabase С поме... весь текст скрыт [показать]
     
     
  • 7.69, Аноним (69), 16:25, 16/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Ян Сын Деревенщины, простигоспади hick If you refer to someone as a I hick I ... весь текст скрыт [показать]
     
     
  • 8.74, КГБ СССР (?), 21:16, 16/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Этот Ян, на минуточку, автор тестов ACID Так что о некомпетентности речь вести ... весь текст скрыт [показать]
     
  • 7.84, Ян собачий сын (?), 16:22, 17/12/2018 [^] [ответить]    [к модератору]  
  • +/
    ну подумаешь, неполучилось в этот раз. Зато сколько мусора пропихнули! И заставили мурзилу воплощать, чтоб у нее ресурсы побыстрее кончились.

     
  • 5.51, Аноним (51), 19:49, 15/12/2018 [^] [ответить]    [к модератору]  
  • +/
    > Все браузерные... движки рендеринга используют libjpg, libpng

    И поэтому единственный правильный ответ изобретателям новых веб-API и кодеков - средний палец

     
     
  • 6.99, Аноним (-), 02:08, 18/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Будь мужиком, смотри видео в MPEG-2 с пиратской DVDшки :)
     
  • 4.30, пох (?), 15:33, 15/12/2018 [^] [ответить]     [к модератору]  
  • +/
    там еще и fts, который в sqlite требуется отдельно включать, и у которого куча с... весь текст скрыт [показать]
     
     
  • 5.63, Аноним (-), 15:28, 16/12/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Экий ты хитрый А как тебе рекламеры неочевидные стелс-куки на манер флешкук тог... весь текст скрыт [показать]
     
  • 3.7, Аноним (7), 10:49, 15/12/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    ошибка в sqlite, а виноват поцтеринк, гугл, сатья наделла, npm leftpad и так далее.
     
     
  • 4.14, А (??), 11:34, 15/12/2018 [^] [ответить]    [к модератору]  
  • +/
    it's true.
     
  • 4.35, OldFart (?), 16:58, 15/12/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Я тоже иногда новости по диагонале читаю, бывает... :)

    Для пропустивших:

    >__приложение__ допускает передачу в SQLite SQL-конструкций, поступающих извне

    Where is: __приложение__ = гугель

     
     
  • 5.39, аноним3 (?), 17:39, 15/12/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    нормальному браузеру не нужна sql-база это вообще извращение только дыр больше... весь текст скрыт [показать]
     
     
  • 6.42, Аноним (7), 17:56, 15/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Кто сказал, что решение одной задачи должно быть оформлено именно в виде одного ... весь текст скрыт [показать]
     
     
  • 7.48, аноним3 (?), 18:58, 15/12/2018 [^] [ответить]     [к модератору]  
  • +/
    ну передачу данных их одного приложения никто не отменял учитывая тот же принц... весь текст скрыт [показать]
     
  • 5.43, Аноним (7), 17:58, 15/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Написано:

    > Во встраиваемой СУБД SQLite выявлена критическая уязвимость

    Но не написано:

    > Во встраиваемой СУБД SQLite всё хорошо, уязвимостей в SQLite не найдено

     
  • 3.21, Аноним84701 (ok), 13:52, 15/12/2018 [^] [ответить]     [к модератору]  
  • +4 +/
    https sqlite org src info 940f2adc8541a838 Вообще-то, раньше использование н... весь текст скрыт [показать]
     
     
  • 4.23, kxmdk (?), 14:12, 15/12/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    Вы вообще хоть что нибудь смыслите в этом Инъёкция - это нарушение привилегий ... весь текст скрыт [показать]
     
     
  • 5.27, тоже Аноним (ok), 14:49, 15/12/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Да, давайте не путать термины. Это не инъекция, это бэкдор.
     
  • 5.28, Аноним84701 (ok), 14:54, 15/12/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    С каких пор это стало обязательным на опеннете при комментировании o_O Не знаю,... весь текст скрыт [показать]
     
     
  • 6.47, Аноним (9), 18:42, 15/12/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Ещё раз sql-инъекция - это то, что даёт возможность выполнять к базе произвольн... весь текст скрыт [показать]
     
     
  • 7.52, Аноним (51), 19:54, 15/12/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Всё верно. В данном случае недоверенный код получает доступ к браузеру правлмерным путём; иными словами, — через внедрённый Гуглом бэкдор.
     
     
  • 8.54, jddjdj (?), 22:21, 15/12/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Опровергнуть, что это - бекдор, не могу, как и опровергнуть чайник Рассела Но з... весь текст скрыт [показать]
     
  • 3.32, Аноним (32), 16:11, 15/12/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    >для отправки в них произвольных SQL-запросов из Web

    только нарк^wгуглоиды могли такое придумать

     
  • 3.57, Аноним (-), 01:05, 16/12/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > ошибка в sqlite, а винован гугл...

    А гугл виноват тем что додумался вывесить вебу SQLное двигло. Далеко не лучшая идея на свете, мягко говоря.

     
  • 2.18, Аноним (18), 12:47, 15/12/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    А то, с особой извращенской любовью к впиливанию pre0.000alfa вещей в релизные ветки для широких масс.
    Девопсия межушного нерва 99 лвл вероятно.
     
     ....нить скрыта, показать (65)

  • 1.17, anonymous (??), 12:42, 15/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    Скулите и удаленно ? Хм. А как называется сервер у скулите ?
     
     
  • 2.19, Аноним (19), 12:50, 15/12/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    Google Chrome.
     
     
  • 3.33, anonymous (??), 16:35, 15/12/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    А причем тут скулите ?
     
     
  • 4.66, Аноним (-), 15:33, 16/12/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > А причем тут скулите ?

    При том что он бэкэндом там прикручен, которому это скармливается, хыхы.

     
  • 1.24, Аноним (9), 14:13, 15/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    >или когда приложение допускает обработку подготовленных пользователем бинарных файлов с базой SQLite

    Спасибо, я передумал делать удаленно подгружаемые sqlite файлы.

     
     
  • 2.29, пох (?), 15:26, 15/12/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    а гугль - не передумал, поэтому они у тебя будут подгружаться, хочешь ты этого или нет ;-)

    Скоро на всех компьютерах, снабженных бразуерами чуть посерьезнее links2.

     
  • 1.34, OldFart (?), 16:35, 15/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Integer overflow в sqlite - это конечно не айс, но давать юзверям это:

    >Уязвимость может быть эксплуатирована в случае если __приложение__ допускает >передачу в SQLite SQL-конструкций, поступающих извне, или когда __приложение__ >допускает обработку подготовленных пользователем бинарных файлов с базой SQLite

    ИМХО это - прямая лажа сборища любителей шпионить (ака Гугля)

     
     
  • 2.61, Аноним (61), 15:22, 16/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Следующий шаг - по базе на каждую вкладку / домен. По процессу на вкладку уже есть.
     
  • 2.78, КГБ СССР (?), 21:31, 16/12/2018 [^] [ответить]    [к модератору]  
  • +/
    > ИМХО это - прямая лажа сборища любителей шпионить (ака Гугля)

    Лажа — это если «как-то само так получилось». А когда так и было задумано, то это не лажа.

     
  • 1.40, Аноним (40), 17:44, 15/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А зачем вообще SQL на клиентской стороне(websql)?
    Итак же есть webstorage...
     
     
  • 2.41, аноним3 (?), 17:52, 15/12/2018 [^] [ответить]    [к модератору]  
  • +/
    так твои пароли проще паковать в гуглобазу)))) отсюда и websql))
     
     
  • 3.67, Аноним (-), 15:35, 16/12/2018 [^] [ответить]    [к модератору]  
  • +/
    > так твои пароли проще паковать в гуглобазу)))) отсюда и websql))

    Гугля рискует что некоторое количество booby tables'ов станет использовать очень специфичные пароли...

     
     
  • 4.85, Ян собачий сын (?), 16:25, 17/12/2018 [^] [ответить]    [к модератору]  
  • +/
    у нас нормально obfuscated код на вашей стороне - хрен вы разберетесь, чего именно drop и где делать.


     
     
  • 5.101, Аноним (-), 02:15, 18/12/2018 [^] [ответить]     [к модератору]  
  • +/
    А мы fuzzer а запустим Вот будет клево когда у гугля что-то где-то будет рандом... весь текст скрыт [показать]
     
     
  • 6.105, гугель (?), 11:49, 18/12/2018 [^] [ответить]    [к модератору]  
  • +/
    да у нас и так регулярно - то ваша почта, то настройки, а админам в общем-то и понимать неохота - жалоб же нету (поскольку нет никакого места, куда можно жаловаться), все ок!
     
  • 2.109, Аноним (107), 15:07, 18/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Затем, зачем SQL вообще нужен -- для упрощения работы с данными.
     
  • 1.50, Kuromi (ok), 19:19, 15/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Вопрос собcтвенно в том, почему Гугл после того как им с друзьями не удалось продавить WebSQL решили сохранить его не поддерживаемую никем реализацию в браузере. Возможно найденная дыра заставит их пересмотреть позицию по этому впросу, ведь дыра в G+ заставила сократить сроки его закрытия.
    И опять же забавно то, что Мозилла в своем время отказались от реализации этой функциональности именно из-за опасений что все кому не лень будут лезть в БД браузера.
     
     
  • 2.53, пох (?), 20:33, 15/12/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > Возможно найденная дыра заставит их пересмотреть позицию по этому впросу

    и продавить таки, поскольку возражать им никто уже не будет, никого не осталось.

     
  • 2.82, Гит рулит (?), 14:22, 17/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Они к этому и стремились лол.
     
  • 1.68, Аноним (68), 15:47, 16/12/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Что-то я не вижу, что она была исправлена Как вкладки в браузере Google-Chromiu... весь текст скрыт [показать]
     
     
  • 2.76, КГБ СССР (?), 21:25, 16/12/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > Что будет дальше?

    Спроси у Германа Львовича Стерлигова, он знает ответ. ;-)

     
  • 1.81, Гит рулит (?), 14:20, 17/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Ну и где любители фоселя от производителя сабжа. Глядите каким рeшетом вы пользуетесь.
     
  • 1.110, Аноним (107), 15:08, 18/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Лайт давно перестал быть Лайтом. А зря.
     
  • 1.112, Анонимчжан (?), 02:23, 19/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    закатайте старый добрый браузер без этих скулящихлайт и тому подобного. желательно на альтернативном движке. а то и правда монополия так и прет)) где штатовский антимонопольный комитет?))) но бекдор, причем открыто, так еще не продавали)))кроме виндовс))
     
  • 1.113, Alex (??), 10:59, 21/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    удаленно и sqlite3?
    кто писал заголовок новости - расстрелять!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor