Недавно приходит тикет от тестера, в котором мне сообщают, что поле для ввода пароля должно содержать аттрибут autocomplete="off". Виделити браузер может запомнить этот пароль у себя в недрах. Я нежно выругался в сторону наших тупых тестеров, что они дебилы недоделанные и с какого перепуга браузер будет сохранять текст для поля input типа password.
Потом я все же загрузил все браузеры, которые у меня были и проверил, может это все же я дурак и в каком-то из браузеров работает autocomplete на пароли. Но такого браузера я не нашел. Все с успехом проигнорировали и не сохранили ничего.
Ну я пишу гневный комментарий в сторону тестера в стиле: ты че, дебил что-ли? С какого перепуга я должен всякую фигню вставлять в HTML код. Оказывается, что они прогнали сайт какой-то программой поиска уязвимостей, и эта программа им сообщила этот бред. Надо бы узнатЬ, что это за программа была и хотелось бы знать браузер, который может додуматься сохранить пароли в автокоплите.
Никогда не доверял свои пароли браузерам. Не знаю почему, но не доверяю я им. Я понимаю, что браузер защищает мои пароли и шифрует их. Но если найдется одна критическая дырочка в браузере, и все мои важнейшие данные могут обежать в сеть. В принципе, я по порносайтам и варез сайтам не хожу и вирусов не должно быть, но все же, береженого не только бон бережет.
Но вот с тех пор, как пересел на MacBook, так почему-то начал сохранять в браузере пароли. Может быть расслабленность какая-то и надежда на то, что вирусы и трояны в ближайшее время продолжат любить ОС Windows, а Apple останется чистеньким.
А ты доверяешь хранение паролей браузеру?
Странно читать новость о том, что сайты напрямую относящиеся к Linux взломаны. Эта ОС всегда была пушистой в глазах хакеров, поэтому ее никогда не трогали. А тут за короткий период поимели сразу несколько основных сайтов. Очень странненько.
Был когда-то такой хороший журнал Компьютерра, который я когда-то читал и старался не пропускать ни одного номера. Это было еще при первом его редакторе. Но уже наверно более 10 лет назад главный редактор сменился и журнал стал превращаться в полный отстой. Постоянные рубрики испахабились, а тема номера очень сильно зависела от выпускающего редактора. Я рублем за фуфло голосовать не собираюсь, поэтому просто перестал читать этот журнал.
Сегодня просто решил заглянуть на их сайт и посмотреть, живы ли они вообще или уже давно ушли на дно. Чтобы не пытаться догадываться, как может называться url сайта, я зашел на яндекс и набрал компьютерру в поисковой строке. Оказывается сайт еще жив и судя по всему выполнен профессионально. Но прежде чем попасть на сайт, я обратил внимание в яндексе на то, что он не совсем полюбил сайт. Под ссылкой написано, что сайт может угрожать безопасности моего компьютера.
Ребенок хочет играть в полную версию игры Need For Speed на Windows Phone, но мне не кайф платить с кредитной карты. Я в основном плачу с PayPal за подобные вещи. С недавних пор Microsoft внедрила прием PayPal почти везде, в том числе и XBox, а вот с телефона пока нет.
Сегодня лазил в интернете, в поисках способа оплатить с PayPal и зашел на сайт Microsoftstore.ca. И о чудо, внизу окна появилась надпись: Internet Explorer has modified the page to help prevent cross site scripting. Ну не чудесно? Ну да, уязвимость возможно и не критичная, но для такой компании немного позорно оставлять собственный сайт в таком некрасивом положении. У Microsoft и там репутация не из лучших, а тут еще и их собственный браузер сообщает, что сайт может содержать ошибку.
Лично я не испугаюсь CSS, но домохозяйки запросто могут свалить с сайта, тем более, это же электронный магазин и покупать что-то на сайте, у которого есть проблемы с безопасностью немного очкливо.
Прошел всего один день с того момента, как я послал огнелиса и не стал обновлять его до пятой версии. И вот сегодня запускаю FireFox, как в правом нижнем углу появляется окошко Microsoft Essential Security, который сообщает, что у меня в мозиловском кеше сидит троян. Ну спасибо тебе мой дорогой и в то же время бесплатный супербезопасный браузер с открытым исходным кодом, я просто счастлив. Какого черта браузер сохранил в кеше трояна?
Запустил обновление браузера. На этот раз он сообщил, что только один плагин не будет работать. Да ну и фиг с ним. Сидеть в не обновляемом браузере опаснее.
Ко мне часто обращаются с просьбой посмотреть или протестировать сайт на безопасность. Я бы не против помочь с этим, но просто не в состоянии. Запросы такие идут с завидной постоянностью, но если я буду пытаться нормально тестировать хотя бы половину сайтов, я буду только это и делать. Блин, если бы за книги хорошо платили (а для этого нужно чтобы их хорошо покупали), то я наверно и сделал бы основной работой тестирование сайтов, а потом просто описывал это.
За часок проанализировать сайт основательно просто нереально. Проще взять специализированную программу, которая тестирует на безопасность, и прогнать сайт с ее помощью. Я сам так часто делаю :), да и многие так делают.
Новая старая статья про PHP и безопасность (вполне актуальная сейчас тема): Безопасность в PHP - системные команды. Я написал ее уже очень давно и сейчас выложил без редактирования, просто выкинул на суд читателей.
Занастольгировал по русским буквам и скачал журнальчик Хакер и там прочитал, что на конференции Chaos Construction на одну из стен выводятся данные о перехваченных HTTP сессиях и это вроде бы как своеобразная стена позора. Если кто-то зашел на сайт по незащищенному каналу, то его сессия легко перехватывается и это вроде бы как позор. Интересно, для кого позор – для пользователя, или для владельцев сайтов?
Лично у меня на сервере перехват сесии возможен, потому что у нас только определенные части сайта идут по https протоколу. Там, где шифрование на фиг не нужно, его просто нет и пользователя даже выкидывает с https на нормальный http протокол. А не фиг загружать сервера своими тупыми шифрованиями там, где это не нужно. Безопасность хороша до тех пор, пока она не становится параноидальной. Так делают нормальные сайты, которые я знаю – например, ebay, amazon. Это то, что приходит мне на макушку мозга. Я как-то не вникал, но надеюсь, что большинство поступает так же.
На сайте моего клиента перехват HTTP сессии возможен. Ты можешь захватить сессию и даже по наслаждаться, что у тебя в куках стоит чужая сессия. Ты можешь погулять по сайту таким образом по открытым областям. Но стоит только зайти в защищенную область сайта, которая содержит важные для пользователя данных, как твой Http Session Hijacking итдет лесом и хакер нежно и ласково возвращается в свою родную сессию лоха позорного.
Удивлеен, что IRC серверами до сих пор еще ползуются. Я думал, что весь современный народ уже давно перешел на любые другие техонлогии. В свое время IRC действительно были очень популярны и я сам отвисал на них, когда я сидел еще в Windows 95 и 98, но с тех пор уже столько лет утекло.
Официальная информация по поводу взлома выглядит так:
Спешим сообщить, что сегодня сеть наших серверов была взломана бывшим оператором IRC, нашим сотрудником по имени "Райан". Он решил, что будет против неорганизованной структуры AnonOps Network и организовал переворот со своими "друзьями" на skidsr.us. Используя сетевой бот "Zalgo" он собрал IP и пароли всех серверов сети (включая хаб) и систематически применял DOS атаки (вот почему сеть была неустойчива последнюю неделю). К сожалению, он контролирует доменное имя AnonOps.ru (и возможно AnonOps.net, мы точно не уверены), поэтому мы не можем продолжать их использовать.
Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю
Copyright © 2025 Михаил Флёнов. Тираж 1 штука. Отпечатано на ноутбуке. А за права отвечаю, или постараюсь.
А здесь еще и копирайт поставлю: Professional Web Development.
На сайте используются Cookie. Если вы из ЕС или Калифорнии США, то вы должны согласиться с их использованием - Согласен. Если вы из нормальной страны, то вам пох.
