|
|
|
|
|
6.16, Ordu (ok), 00:16, 07/08/2013 [^] [^^] [^^^] [ответить]
| +11 +/– |
Нет. Это не рекурсия. Что за манера сводить всё разнообразие проявлений окружающей среды к своему ограниченному лексикону? Это не рекурсия, а логический парадокс. Гурманы, разбирающиеся в сортах парадоксов, назвали бы его антиномией. Сия антиномия, известна как минимум, со времён Древней Греции. Ну и да, к сегодняшнему дню, математика вполне в состоянии справится с этим парадоксом, поэтому называть его парадоксом не совсем корректно. Но, для сельской местности, сойдёт.
| |
|
|
8.46, Аноним (-), 13:31, 07/08/2013 [^] [^^] [^^^] [ответить] | +3 +/– | Автореферентные высказывания, безусловно, относятся к рекуррентным возвратным ,... текст свёрнут, показать | |
|
|
|
|
6.65, Аноним (-), 23:52, 08/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Уговорил. Доформулирую.
> Все лгут, но не всегда.
Как говорил Капитан Очевидность, "я говорю правду всегда, кроме случаев, когда я лгу".
| |
|
5.23, Andrew Kolchoogin (ok), 07:22, 07/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
Цирюльник в деревне занимается тем, что бреет тех людей, которые не бреются сами. Бреет ли он при этом сам себя?
| |
|
6.36, the joker (ok), 11:55, 07/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Цирюльник в деревне занимается тем, что бреет тех людей,
> которые не бреются сами. Бреет ли он при этом сам себя?
Оба ответа (противоположных) верны одновременно:
а) Да, он бреется сам.
б) Нет, его бреет цирюльник.
| |
|
7.64, Аноним (-), 23:50, 08/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
Нет, он вообще не бреется. Потому что автор поста выше забыл указать, что цирюльник бреет _всех_, кто не бреется сам. А без этой детали все становится очень просто (как говорят слесари на автобазе).
| |
|
|
|
|
|
|
3.6, Аноним (-), 23:40, 06/08/2013 [^] [^^] [^^^] [ответить]
| +4 +/– |
> Расширения ставить религия не позволяет?
<sarcasm>
Мозилловцы уже обсуждают необходимость выпилить API-функции, требуемые для работы NoScript, ввиду того, что этим расширением пользуется менее 1% народа
</sarcasm>
| |
|
4.26, хрюкотающий зелюк (?), 09:17, 07/08/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Мозилловцы уже обсуждают необходимость выпилить API-функции, требуемые для работы NoScript, ввиду того, что этим расширением пользуется менее 1% народа
только ради NoScript сижу на фоксе, неужели???
| |
|
3.8, Аноним (-), 00:04, 07/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
Интересно какой логикой надо обладать что бы запилить по умолчанию недофаербаг, недопанельку сетевой активности и выкинуть фичи по отрубанию джаваскриптов. С какой радости вот это расширениями нельзя оставить, что это за регилия такая?
| |
|
|
5.34, Аноним (-), 11:47, 07/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
> «Целостность интерфейса»™ же.
Кроме того это достаточно глубокое влезание в механику браузера. Расширения... файрбаг прославился тем что вызывает ... уйму БАГОВ в процессе своей работы.
Опыт других браузеров показал что таки как часть браузера это работает лучше. А расширением теперь будет выборочно включаться JS, да. В этом есть некая логика: в core стоит оставить то что надо часто, а что надо редко (задр@чиваются с отключкой JS только продвинутые пользователи) - аддонами.
| |
|
6.66, Аноним (-), 23:54, 08/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
Обеспечение API для аддонов в core, как правило, гораздо сложнее реализации тех функций, которые вынесены в аддоны.
| |
6.67, Аноним (-), 00:44, 09/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
> В этом есть некая логика: в core стоит оставить то что надо часто, а что надо редко (задр@чиваются с отключкой JS только продвинутые пользователи) - аддонами.
Могу ещё раз повторить вопрос и переформулировать его. Вот есть простой пользователь. Есть функции в ядре броузера. Допустим две. Первая предоставлять интерфейс к недофаербагу, вторая - возможность включить/отключить скрипты на сайтах.
Теперь вопрос. У нас простые пользователи каждые второй сайт крутят в фаербаге? Это нужнее чем иметь возможность включить-выключить скрипты на глючных сайтах? Какая тут логика? Особая?
| |
|
|
4.13, Crazy Alex (ok), 00:10, 07/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
Да не выкидывал фичу, там новость непонятно как писали. Убрали из окошка настроек, оставив в about:config
| |
|
|
6.37, the joker (ok), 11:59, 07/08/2013 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Пропаганда меньшинства запрещена)
Меньшинства-то как раз под защитой. А вот кто защитит большинство от этих самых меньшинств (которых расплодилось, как собак нерезанных)?
| |
|
7.38, ИТтаджик (?), 12:13, 07/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> Пропаганда меньшинства запрещена)
> Меньшинства-то как раз под защитой. А вот кто защитит большинство от этих
> самых меньшинств (которых расплодилось, как собак нерезанных)?
Ссыкливое большинство, умеющее только гадить на форумах и мелкопакостить в Манежах, иного недостойно.
| |
|
|
|
|
|
2.17, Аноним (-), 00:17, 07/08/2013 [^] [^^] [^^^] [ответить]
| +3 +/– |
> как хорошо что в последнем firefox убрали опцию "noscript"
Но при этом добавили опцию, блокирующую выполнение незащищенных скриптов на защищенных страницах, бгг
См. https://www.opennet.ru/opennews/art.shtml?num=37609
> Включение системы блокирования смешанного контента, предназначенной для защиты пользователей от MITM-атак (man-in-the-middle) и от интеграции прослушивающих вставок на HTTPS-страницы. Начиная с Firefox 23 при наличии на доступной через HTTPS странице обращений к незащищённым HTTP-ресурсам, некоторые виды обращения по HTTP будут блокироваться по умолчанию. Блокироваться будет только активный контент, т.е. незащищённые запросы скриптов.
| |
2.20, Xasd (ok), 01:41, 07/08/2013 [^] [^^] [^^^] [ответить]
| +11 +/– |
> как хорошо что в последнем firefox убрали опцию "noscript"
Javascript тут не причём.
если предполижить что Javascript отключен -- то туже самую атаку можно сделать через <IFRAME> в сочитании с <META HTTP-EQUIV="REFRESH" ...>
так что прекратите пороть чушь.
если уж хотите глобального_и_радикального решения проблемы.
то нужно запретить HTTP-протокол , и разрешить только HTTPS (с обязательной проверкой сертификата по DANE (DNS-based Authentication of Named Entities)).
а также запретить IFRAME , и вообще все все ресурсы (даже картинки) подгружать только через CORS (Cross-origin resource sharing)...
...а Javascript тут виноват только в последнюю очередь...
| |
|
3.33, Аноним (-), 11:29, 07/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
> если уж хотите глобального_и_радикального решения проблемы.
> то нужно запретить HTTP-протокол , и разрешить только HTTPS (с обязательной проверкой
> сертификата по DANE (DNS-based Authentication of Named Entities)).
...после чего соотв. ауторити просто начнут выписку левых сертов и вся эта фигня пойдет лесом, как обычно.
Сам по себе https в его текущем виде защитой является не больше чем бронежилет из картона. Выглядит может и как настоящий, только пули не очень хорошо задерживает.
| |
|
4.52, Xasd (ok), 16:58, 07/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> если уж хотите глобального_и_радикального решения проблемы.
>> то нужно запретить HTTP-протокол , и разрешить только HTTPS (с обязательной проверкой
>> сертификата по DANE (DNS-based Authentication of Named Entities)).
> ...после чего соотв. ауторити просто начнут выписку левых сертов и вся эта
> фигня пойдет лесом, как обычно.
ды ауторити пусть хоть обвыписываются своими левыми сертифкатами, но всё равно это не будет иметь приоритета перед DANE.
в случае если есть хотя бы ОДНА ошибка в двух проверках (DANE или ауторити) -- сайт уже считается скомпрометированным и НЕ будет открыватсья в www-браузере.
(так написанно на wiki-страничке от Мозилки)
| |
|
5.56, Аноним (-), 19:21, 07/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
> не будет иметь приоритета перед DANE.
Поэтому MITM просто поставит свой DNS сервер без этой байды посередине. Поскольку сайтов которые так не умеют будет много и еще долгие годы, типовой хомяк просто не замтит что ему DNS немного заменили. На иной, который так не умеет. Что как бы нормальная ситуация - ведь полинтернета тоже это не умеет.
| |
|
|
3.47, лох (?), 13:31, 07/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> передаваемых внутри зашифрованного HTTPS-соединения
> запретить HTTP-протокол , и разрешить только HTTPS
перепутал?
> туже самую атаку можно сделать через <IFRAME>
ту же самую атаку можно будет сделать всегда, если клиент (браузер, плеер, хз-что) будет иметь возможность отправлять запрос через скомпрометированный гейт без участия юзера. Вне зависимости от протокола (НТТР/S, SPDY, FUCK и т.д.) и содержания страницы (HTML4/5, iframe, flash, jpg -- кстати жпеги тоже "ломали").
> если уж хотите глобального_и_радикального решения проблемы
> запретить IFRAME , и вообще все все ресурсы
может сразу запретить весь интернет.
> прекратите пороть чушь | |
|
4.57, Аноним (-), 19:23, 07/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
> юзера. Вне зависимости от протокола
Вот это не обязательно, кстати. Если на уровне протокола предусмотреть некий padding данных, с рандомизацией размера и прочая - MITM таки *будет* в этом случае чертыхаться.
| |
|
3.48, Аноним (-), 13:37, 07/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
IFRAME NoScript тоже умеет блочить. Это расширение вообще очень мощная штука для безопасности, рекомендую посмотреть.
| |
|
2.24, Аноним (-), 07:38, 07/08/2013 [^] [^^] [^^^] [ответить]
| +2 +/– |
убрали и павильно. Если бы можно было для определенныз сацтов разрешать это одно, а как там оно все равно бесполездно.
Кому надо отключит через эбоут:конфиг или расширением носкрипт.
| |
2.29, Аноним (-), 11:13, 07/08/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> как хорошо что в последнем firefox убрали опцию "noscript"
Поэтому есть аддон NoScript, который куда более разумно поступает - позволяет выборочно разрешить JS тем сайтам которые нужны и без него не работают.
| |
|
1.15, Crazy Alex (ok), 00:11, 07/08/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Не понял - а что, так сложно не позволять исполнять незащищенный JS на защищенной странице?
| |
|
2.19, Xasd (ok), 01:33, 07/08/2013 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Не понял - а что, так сложно не позволять исполнять незащищенный JS на защищенной странице?
например заходишь ты на
http://twitter.com
и сервер тебя переадресовывает на
httpS://twitter.com
но это происходит в НОРМАЛЬНОМ случае..
..а в случае атаки:
ты заходишь на
http://twitter.com
и тут включается CRIME-скрипт (или как его там?) ВМЕСТО переадесации на
httpS://twitter.com
# P.S.: стоит ли говорить про http-закоговок ---- HTTP Strict Transport Security (?) , который уже не позволит второй раз зайти на http если ты уже бывал хоть раз на https. так-что Firefox можно сказать УЖЕ на 99% защищён от этой фигни , если разработчик сайта вспомнил про "HTTP Strict Transport Security" . а если разработчик не вспомнил про этот заголовок -- то Firefox тоже защищён (но менее чем на 99%) :)
| |
|
3.27, Аноним (-), 09:55, 07/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
а ежели сразу на https:// заходить, тогда, выходит, атака невозможно?
не лучше ль тогда сварганить плагин, меняющий где только можно http на https?
| |
3.32, Аноним (-), 11:27, 07/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
> не вспомнил про этот заголовок -- то Firefox тоже защищён (но менее чем на 99%) :)
Свежий лис не грузит не-HTTPS контент на HTTPS страницах по умолчанию.
| |
3.44, Crazy Alex (ok), 13:26, 07/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
Ага, дошло. Ну да, можно же через формы или ифреймы дергать раз за разом HTTPS-адрес с разными параметрами...
| |
|
4.53, Xasd (ok), 17:01, 07/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
> ...можно же через формы или ифреймы дергать раз
> за разом HTTPS-адрес с разными параметрами...
верно! :)
| |
|
|
2.31, Аноним (-), 11:26, 07/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Не понял - а что, так сложно не позволять исполнять незащищенный JS
> на защищенной странице?
Свежий 23-й лис кстати так и сделает - матюкнется что не шифрованный контент на шифрованной странице и не будет его вгружать.
| |
|
1.41, Аноним (-), 12:54, 07/08/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Если есть "выполнение на стороне браузера клиента JavaScript-кода злоумышленника", то зачем всё остальное?
| |
1.42, Нанобот (ok), 12:55, 07/08/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
>В качестве метода защиты на уровне web-приложений, предлагается случайным образом менять представление секретных идентификаторов при каждом запросе, например, через операцию XOR со случайной маской.
костыли! причём кривые
| |
1.43, Аноним (-), 13:15, 07/08/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Подскажите плиз, если у апача отключить mod_deflate и mod_gzip, то эксплуатация будет невозможна????
| |
1.54, Sylvia (ok), 18:06, 07/08/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
очень понравился лаконичный ответ Игоря Сысоева
"gzip off" от SSL-enabled sites.
--
Igor Sysoev
| |
|
2.58, Аноним (-), 19:24, 07/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
> "gzip off" от SSL-enabled sites.
Только у SSL еще встроенное сжатие zlib есть. Это как раз соседняя атака. Сколько там еще костылей надо поставить, ась?
| |
2.59, Аноним (-), 21:03, 07/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> "gzip off" от SSL-enabled sites.
Бред сивой кобыли
gzip относиться только к модулю (HTTP)
| |
|
3.62, Sylvia (ok), 07:27, 08/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
>>> "gzip off" от SSL-enabled sites.
> Бред сивой кобыли
> gzip относиться только к модулю (HTTP)
директива работает на любом блоке server {} втч и в случае listen 443 ssl;
и да, нам как раз и нужно отключить сжатие на уровне http
| |
|
|
|