Самое горячее: Европа признала соцсети опасными (50); "Фобос-Грунт" уже не спасти (11); Мобильники убивают детей (26); ЕЩЕ >>
РАЗДЕЛЫ
Архив
« июнь 2020  
пн вт ср чт пт сб вс
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30          

ЖЖ заспамят всплывающими окнами?

Деньги | Новости | 17.02.2011 17:34

В Livejournal обнаружилась уязвимость, с помощью которой можно вставлять в записи дневников и сообществ надоедливые всплывающие окна и другой «посторонний» контент. Сторонние скрипты вставляются через кнопку embed media в окне редактирования записей.

Примеры использования уязвимости можно найти в записи пользователя werdender, при открытии которой выскакивает всплывающее окно.

«Настоящим уведомляю, что в ЖЖ есть дырка, позволяющая сильно осложнить вам жизнь. Это окошко и является тому доказательством. Опасность в том, что не я, бусечка, а какой-нибудь злодей или член партии воров и жуликов могут сделать так, что вы вообще не сможете убрать это окошко, соответственно, вы не сможете и читать ленточку. Первый пост об этом висит несколько дней, но портал до сих пор не закрыт. Засим прошу всех массово сообщить в СУП о том, что я самая что ни на есть настоящая бусечка, мне одному они не верят» - говорится в записи.

Разработчик компании DataArt Александр Чистяков по просьбе «Вебпланеты» протестировал публикацию сторонних кодов через embed media. По его словам, с помощью этого инструмента обычно постят видео и другой медиа-контент – чтобы запись шла неразрывно, но таким же способом можно «обернуть» и html с других ресурсов – что и сделал пользователь werdender.

Чистяков предполагает, что уязвимость появилась тогда, когда в ЖЖ открыли возможность встраивать в записи видео и аудиоконтент – то есть, несколько лет назад. Существует также версия, что уязвимость как-то связана с работой надоедливого скрипта LJTimes, который тоже выскакивает в виде отдельного окна. Некоторые считают, что именно ради LJTimes руководство ЖЖ и разрешило такие скрипты. Но Чистяков полагает, что к этой медиа-надстройке дыра отношения не имеет.

«Хочу отметить, что ничего страшного и опасного в этой уязвимости я не вижу. Воровать пароли и другую конфиденциальную информацию с помощью неё нельзя, - подчеркнул Чистяков. – Зато можно развлекаться, вставляя в посты всплывающие окна с, например, неприличными изображениями».

разделы: Новости | Деньги

Другие новости

Последние комментарии
об издании | тур по сайту | подписки и RSS | вопросы и ответы | размещение рекламы | наши контакты | алфавитный указатель

Copyright © 2001-2020 «Вебпланета». При перепечатке ссылка на «Вебпланету» обязательна.

хостинг от .masterhost