В Google Chrome и Firefox для Android выявлена (http://www.rafayhackingarticles.net/2016/08/google-chrome-fi...) уязвимость, позволяющая отобразить в адресной строке произвольное имя вместо фактического домена, путём манипуляций  unicode-символами языков с написанием букв справа-налево (RTL). Проблема вызвана ошибкой обработки в URL таких символов, как U+FE70, U+0622, U+0623, использование которых приводит к замене порядка слов в адресной строке.

Например, при открытии "http://127.0.0.1/%EF%B9%B0/http://google.com/... (http://127.0.0.1/%EF%B9%B0/http://google.com/...)" в адресной строке будет показано "http://google.com/test/127.0.0.1", что может быть применено для скрытия попыток фишинга. Проблема уже устранена в Firefox 48 (CVE-2016-5267 (https://security-tracker.debian.org/tracker/CVE-2016-5267), проявляется только в версии для Android) и запланирована к исправлению в сентябрьском обновлении Chrome.

URL: http://www.rafayhackingarticles.net/2016/08/google-chrome-fi...
Новость: https://www.opennet.ru/opennews/art.shtml?num=44985

• Уязвимость, позволяющая отобразить иной домен в адресной стр...,AnotherReality1, 23:38 , 17-Авг-16
  • Уязвимость, позволяющая отобразить иной домен в адресной стр...,Аноним, 23:39 , 17-Авг-16
    • Уязвимость, позволяющая отобразить иной домен в адресной стр...,AnotherReality1, 00:15 , 18-Авг-16
      • Уязвимость, позволяющая отобразить иной домен в адресной стр...,obl, 00:18 , 18-Авг-16
        • Уязвимость, позволяющая отобразить иной домен в адресной стр...,AnotherReality1, 00:21 , 18-Авг-16
          • Уязвимость, позволяющая отобразить иной домен в адресной стр...,obl, 12:25 , 22-Авг-16
      • Уязвимость, позволяющая отобразить иной домен в адресной стр...,Crazy Alex, 00:42 , 18-Авг-16
        • Уязвимость, позволяющая отобразить иной домен в адресной стр...,Аноним, 01:13 , 18-Авг-16
          • Уязвимость, позволяющая отобразить иной домен в адресной стр...,Crazy Alex, 02:44 , 18-Авг-16
        • Уязвимость, позволяющая отобразить иной домен в адресной стр...,xwild, 04:18 , 18-Авг-16
          • Уязвимость, позволяющая отобразить иной домен в адресной стр...,АнонимХ, 05:57 , 18-Авг-16
            • Уязвимость, позволяющая отобразить иной домен в адресной стр...,Аноним, 06:05 , 18-Авг-16
          • Уязвимость, позволяющая отобразить иной домен в адресной стр...,Vitaly_loki, 06:41 , 18-Авг-16
            • Уязвимость, позволяющая отобразить иной домен в адресной стр...,Аноним, 14:12 , 18-Авг-16
              • Уязвимость, позволяющая отобразить иной домен в адресной стр...,Аноним, 23:33 , 18-Авг-16
            • Уязвимость, позволяющая отобразить иной домен в адресной стр...,Аноним, 21:06 , 18-Авг-16
          • Уязвимость, позволяющая отобразить иной домен в адресной стр...,xwild, 08:17 , 18-Авг-16
            • Уязвимость, позволяющая отобразить иной домен в адресной стр...,aurved, 09:26 , 18-Авг-16
              • Уязвимость, позволяющая отобразить иной домен в адресной стр...,Аноним, 21:57 , 18-Авг-16
                • Уязвимость, позволяющая отобразить иной домен в адресной стр...,Michael Shigorin, 12:01 , 19-Авг-16
            • Уязвимость, позволяющая отобразить иной домен в адресной стр...,AnotherReality1, 14:14 , 18-Авг-16
          • Уязвимость, позволяющая отобразить иной домен в адресной стр...,Аноним, 14:17 , 18-Авг-16
            • Уязвимость, позволяющая отобразить иной домен в адресной стр...,Аноним, 18:35 , 18-Авг-16
              • Уязвимость, позволяющая отобразить иной домен в адресной стр...,Аноним, 23:38 , 18-Авг-16
          • Уязвимость, позволяющая отобразить иной домен в адресной стр...,Аноним, 19:05 , 18-Авг-16
        • Уязвимость, позволяющая отобразить иной домен в адресной стр...,Аноним, 06:05 , 18-Авг-16
• Уязвимость, позволяющая отобразить иной домен в адресной стр...,Аноним, 02:26 , 18-Авг-16
• Уязвимость, позволяющая отобразить иной домен в адресной стр...,Аноним, 06:02 , 18-Авг-16
• Уязвимость, позволяющая отобразить иной домен в адресной стр...,_, 06:49 , 18-Авг-16
  • Уязвимость, позволяющая отобразить иной домен в адресной стр...,Нанобот, 18:20 , 18-Авг-16
• Уязвимость, позволяющая отобразить иной домен в адресной стр...,Аноним, 07:12 , 18-Авг-16
  • Уязвимость, позволяющая отобразить иной домен в адресной стр...,НовыйЮзер, 15:51 , 18-Авг-16
• Уязвимость, позволяющая отобразить иной домен в адресной стр...,Аноним, 09:30 , 18-Авг-16
  • Уязвимость, позволяющая отобразить иной домен в адресной стр...,Vitaly_loki, 09:59 , 18-Авг-16
    • Уязвимость, позволяющая отобразить иной домен в адресной стр...,ТТТ, 11:59 , 18-Авг-16
  • Уязвимость, позволяющая отобразить иной домен в адресной стр...,iPony, 05:40 , 19-Авг-16
• Уязвимость, позволяющая отобразить иной домен в адресной стр...,userd, 15:27 , 18-Авг-16
• Уязвимость, позволяющая отобразить иной домен в адресной стр...,XoRe, 19:12 , 18-Авг-16
• Уязвимость, позволяющая отобразить иной домен в адресной стр...,Аноним, 20:52 , 20-Авг-16
  • Уязвимость, позволяющая отобразить иной домен в адресной стр...,Аноним, 03:16 , 24-Авг-16
• Уязвимость, позволяющая отобразить иной домен в адресной стр...,Анонимомус, 16:32 , 25-Авг-16

Firefox 46.0.1
Не работает, или я не понимаю как оно должно работать

Под андроидом?

Да я косянул и проверял на компе. Но сейчас проверил на андроиде 47.0  тоже не работает.
android 4.4

Стар,  супер стар...  4.4!

Увы MIUI под мой аппарат не выпустил версию 6.0
А  стоковое ведро, даже под соусом циана, меня не вдохновляет

> Увы MIUI под мой аппарат не выпустил версию 6.0
> А  стоковое ведро, даже под соусом циана, меня не вдохновляет

Да раз miui то оно и к лучшему, в новых версиях оно очень погано с уведомлениями работает, пришлось шить циан.

И что? Последняя приличная версия

FreeBSD тоже четверочку на серверах держите? Священное число!

Фрю? Танунафиг. Но что ж делать, если этот их Material Design - какой-то рекорд уродства и маразма.

Насколько я понимаю, нежелание принять новое это генетически запрограммированный код.

То есть если человек из каменного века съест новый красивый гриб, то он скорее всего умрет, а так как передачи информации не было, в итоге это хорошо закрепилось в подсознании через тысячи поколений.

В современном мире обратная ситуация, если ты не принимаешь новое, то будешь получать меньше ресурсов, но это никак не закрепилось, потому что этому явлению от силы 100 лет.

Если осознать это, то можно сыграть на чувстве противостояния и эффективно бороться, таки познавая новое и получая ресурсы.

Познавать новое - это не значит бросаться за блестящими безделушками как сорока или необразованный папуас. Подстилаться под маркетологов и горедизайнеров - вот где косяк, этого надо бояться как ярких грибов

Не мешайте юноше убалтывать себя, что он очень умная и кокурентоспособная сорока.

До-о-о, все дебилы, к-е пользуются плитками на винфонах, материал дизайном на ведроиде, кто смотрит Дом-2 и ТНТ, постят фоточки в социалочках, оказывается познают новое и эффективно противостоят всяким Аланах Коксам и прочим Столлманам.

> познают новое и эффективно противостоят

Увы,так оно и есть. Познают совершенно новые комбинации информационного шума и презирают все, что заставляет включить мозг. Куда катится мир?

Вот бы заставить их генту компилять. Сразу стал бы коммунизм.

"социалочках" надо было сократить до "с-очках".

Не троллинга ради, но может быть всё же в андроидах 5, 5.1, 6, 7 появись что-то кроме нового дизайна?

Ну таки вроде права приложению можно менять более гибко и вроде в старых версиях только при инсталляции спрашивали что можно и нельзя, сейчас можно менять когда хочешь.
Приложения при инсталляции компилируются, ставятся чуть дольше, но работают быстрее и жрут батарею от этого меньше.

Ой, это как в древнючей iOS 7? Шестёрку почти не застал, не знаю, там было такое. Наверное было.

> Ой, это как в древнючей iOS 7?

Прочитал было "OS 7", вспомнил девяностые...

PS: System 7.x оно звалось, вот.

и в версии 6.0 появилась система doze, которая теоретически позволит уменьшить расход батареи

> Насколько я понимаю, нежелание принять новое это генетически запрограммированный код.

Человече, ты от обезьяны отличаешься как раз тем, что способен как принимать, так и создавать новое.

клоун: обезьяны тоже могут. Ты отличаешься способностями к абстрактному мышлению. Обезьяны (как и прочие животные) физически не способны делать рутинные, скучные и неинтересные действия длительное время. Поэтому обезьяну научили говорить (см. Уошо), но не смогли заставить работать по 8 часов в день.

> клоун: обезьяны тоже могут.

Не могут. Они могут использовать использовать некий предмет для достижения цели, но этот предмет не становится орудием труда, т.е. обезьяна не устанавливает связь между конкретным предметов и результатом своих действий. Предмет не становится постоянно используемым, не улучшается, информация о нем не передается сородичам. Оно и понятно, труд явление социальное, а у обезьян социума нет.

> Насколько я понимаю, нежелание принять новое это генетически запрограммированный код.

Всмысле любой дизайнерский выкидыш надо принимать "на ура" и стоя апплодировать?

Это да. Жалко свой смарт с 4.4 разбил а новый уже 5-й :\

Прикольно))работает

UC Browser довольно старой версии 10.8.8 — не работает.

В чем заключается ошибка обработки указанных символов?

(тут было какое-то сообщение, но потом его удалили, не обращайте внимание)

Конец всем старым Androidфонам.

меньше знаешь - крепче спишь :) Используй и не трусь! :)

В Palemoon не работает

Он работает на андроиде?

Да, работает.

> В Palemoon не работает

Там вообще что-то работает? Этот проект и на десктопе 1.5 фурфага ковыряют. А на ведроиде и вообще болт положили.

А у меня на настольном компьютере в хромиуме сработало.
В адресной строке отображается "http://google.com/test/{странная закорючка}/127.0.0.1"

Баг с unicode в адресной строке. Шел 2016 год...

Проверил в браузере Arachne - не работает.

как и весь юникод?

Всегда считал, что RTL - зло и лишние костыли.