Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

В Firefox 4 и Opera 11 будет заблокирована поддержка протоко..., opennews (ok), 09-Дек-10, (0) [смотреть все] Поддерживаю Молодцы, серьезные люди и серьезные продукты А сокеты подождут , Wormik (ok), 17:41 , 09-Дек-10, (1) +19 // Давно заметно что гуглу пофигу на проблемы пользователей Подумаешь, пользовател, User294 (ok), 23:57 , 09-Дек-10, (17) –2 // То, что гуглу плевать на пользователей, согласен Но то, что возможность надо от, Тот_Самый_Анонимус (?), 06:28 , 10-Дек-10, (20) –2 // Нет, не бред Как это будет на практике 1 Пров или корпоративный админ может в, User294 (ok), 20:39 , 10-Дек-10, (28) устанут травить ксли это прозрачный кэш -- особенно устанут очитывая то, что обы, pavel_simple (ok), 22:57 , 10-Дек-10, (31) угу проблемы устаревших прокси Вот сейчас все как ломанулись обновлять свои , ksuit (?), 03:30 , 12-Дек-10, (34) такие-же оработанyые как машинное масло при чём тут стандарт на html5 если наруш, pavel_simple (ok), 20:39 , 12-Дек-10, (35) 1 Если корпоративный админ -- так на то он и админ чтоб ОТВЕЧАТЬ ЗА ВСЕ Если пр, Aqueelone (?), 12:40 , 13-Дек-10, (36) +1 Эта чтоль network websocket enabled , pavlinux (ok), 18:31 , 09-Дек-10, (2) // и network websocket override-security-block в true, анониммм (?), 19:02 , 09-Дек-10, (4) +1 // нету такой , pavlinux (ok), 19:17 , 09-Дек-10, (5) // она появилась в сегодняшней найтли-сборке firefox a, как и отключение вебсокетов, Аноним (-), 19:59 , 09-Дек-10, (8) +1 Устроили там ромашку - включаем-невключаем , pavlinux (ok), 21:48 , 09-Дек-10, (15) отлично правильно вот именно этим HTML5 отличается от Adobe Flash и других, Аноним123321 (ok), 19:34 , 09-Дек-10, (7) // Это не HTML5, а решение тех, кто его реализовывает в своих продуктах Так что хв, Wormik (ok), 20:07 , 09-Дек-10, (9) +6 Что-то мне подсказывает, что оно уже есть, поэтому и реализовано в движке WebKit, Блуд (ok), 20:39 , 09-Дек-10, (11) –1 они и не реализовывают ничего они лишь выпускают стандарт, Аноним (-), 20:49 , 09-Дек-10, (12) Однако, не из всех локаций доступен метод CONNECT на 80 порт , Аноним (-), 20:34 , 09-Дек-10, (10) // В тех же локациях обычно и Upgrade не работает, поэтому не расстраивайтесь , filosofem (ok), 20:50 , 09-Дек-10, (13) +1 Ура На самом деле, давно назревает аналог noscript в сумме enable cookies for , Аноним (-), 21:10 , 09-Дек-10, (14) Поясните пожалуйста, кто понял новость получается я могу написать программку кот, Аноним (-), 22:41 , 09-Дек-10, (16) // Да-да, все так и есть И я, честно говоря, не совсем понимаю, как запрет websocke, dss (?), 00:45 , 10-Дек-10, (19) // Кривые прокси уязвимы изнутри Это значит, что ваш коллега или ваша жена, может , filosofem (ok), 09:58 , 10-Дек-10, (24)   // Так в том же исследовании прекрасно описано, как тех же целей 171 ломания снар, dss (?), 01:35 , 11-Дек-10, (32)   А что прокси нарушают, какую спецификацию Ни в каком std не написано, что нельз, filosofem (ok), 11:31 , 11-Дек-10, (33)   эксплуатируемая при помощи нового протокола про который они не знают, ага П, User294 (ok), 20:48 , 10-Дек-10, (29) ээээ верните сокеты редиски Когда уже нормально подумают над стандартом - не, devlink (?), 23:59 , 09-Дек-10, (18) –2 // Так они же не отказываются, они просто снимают с себя ответственность за потенци, ugo (?), 08:56 , 10-Дек-10, (23) +3 Консорциум честно предупреждал, что НЕ стоит реализовывать HTML5, поскольку стан, Аноним (-), 08:22 , 10-Дек-10, (21) // Маркетинг будь он неладенПочти все уверены, что HTML5 сайт - это видео без флеша, анони (?), 08:43 , 10-Дек-10, (22) ну и правильно, sluge (ok), 10:23 , 10-Дек-10, (25) Молодцы, всё правильно А скачущим впереди паровоза надо дать хорошего пинка , Аноним (-), 17:11 , 10-Дек-10, (27) Судя по письму речь идёт об отравлении кэша прокси сервера через который прошёл , Аноним (-), 22:48 , 10-Дек-10, (30) hf, Аноним (37), 23:10 , 10-Июн-11, (37) Новая opera 11 64http letitbit net download 54784 5a1624aaaf9e6e9d0a7fa96f99ab, Аноним (38), 16:33 , 13-Май-12, (38) 1,2,7,10,14,16,18,21,25,27,30,37,38

Сообщения

[Сортировка по времени | RSS]

	24. "В Firefox 4 и Opera 11 будет заблокирована поддержка протоко..."	+/–
	Сообщение от filosofem (ok), 10-Дек-10, 09:58
	Кривые прокси уязвимы изнутри. Это значит, что ваш коллега или ваша жена, может отравить кэш этого прокси и таким образом подсунуть вам некий неправильный http://www.google-analytics.com/ga.js. Websocket делает их уязвимыми снаружи. Это значит, что не только ваш коллега за соседним столом, а любой киддис Вася может таким образом подсунуть вам некий неправильный http://www.google-analytics.com/ga.js.
	Ответить | Правка | Наверх | Cообщить модератору

	32. "В Firefox 4 и Opera 11 будет заблокирована поддержка протоко..."	+/–
	Сообщение от dss (?), 11-Дек-10, 01:35
	Так в том же исследовании прекрасно описано, как тех же целей «ломания снаружи» можно достичь с явой и флэшом. И что, запретим по дефолту в браузерах флэш и яву? Только очень особые любди думают, что «безопасно» == «через жопу». Если ты делаешь в своей сетке transparent proxy, ты берешь на себя всю ответственность за обеспечение безопасности пользователей за ним. И если у тебя кривой прокси — это твой косяк, а не разработчиков спецификации протокола, который, между прочим, спецификаций HTTP не нарушает (почитайте rfc2616 про Upgrade). Запрещать протокол, соответствующий спецификации, потому что он ломает прокси, которые положили на спецификацию — это феерический идиотизм.
	Ответить | Правка | Наверх | Cообщить модератору

	33. "В Firefox 4 и Opera 11 будет заблокирована поддержка протоко..."	+/–
	Сообщение от filosofem (ok), 11-Дек-10, 11:31
	А что прокси нарушают, какую спецификацию? Ни в каком std не написано, что нельзя кэшировать по хостнэйму. Да и кэширование по ИП не дает никакой гарантии, что другие исследователи не смогут его эксплуатировать. >Так в том же исследовании прекрасно описано, как тех же целей «ломания снаружи» можно достичь с явой и флэшом. И что, запретим по дефолту в браузерах флэш и яву? Да, этот крап в вэбе не нужен. Так, между прочим, эксплойт вэбсокета через Upgrade тоже использует флэш. Так обычно и получается (и тот кто хотя бы раз занимался взломом или защитой от него, а не просто теоретизирует, тот знает), что успешный взлом эксплуатирует сразу множество уязвимостей. Например дыра в CMS, плюс кривость PHP, плюс необновленное ядро, плюс неграмотная политика безопасности, позволяющая поднять привилегии чаще всего приводят к взлому сервера при помощи инъекции, PHP шелла и эксплойта ядра. Хотя ни одна из этих уязвимостей в отдельности ни к каким катастрофическим последствиям не приводит. Клиента чаще всего подводит дырявая необновленная операционка, плюс работа под админом, плюс необновленный браузер, плюс дыра в флэше/джаве/пдф-ридере или каком-то софте со старыми библиотеками, плюс конечно _незнание_ и желание пользоваться всем новеньким и блестящим, забив на безопасность, несмотря на предупреждение о том, что протокол уязвим сам по себе. Кстати и протокол отвечающий всем спецификациям нифига не обязательно безопасен на практике, взять тот же ДНС. И вообще развелось "специалистов" которые на каждое сообщение о уязвимости кричат, что это не работает и все юзеры сами виноваты. И так до тех пор пока не увидят у себя в консоле uid=0(root) или пока их самих не поимеют.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема