p2u

Если тебе кажется, что ничего нет,

В этой теме 11 сообщений

Хочу вам показать один прикол.

Сначала скажу, что у меня в качестве защиты в браузере работает NoScript с максимальными настройками.

Далее работает Adblock Plus с необычными настройками. Блокирующий фильтр по умолчанию: * (блокировать всё, кроме текста). По умолчанию разрешаются для ВСЕХ страниц в Интернете только таблицы стилей (stylesheet).

Для доверенных страниц разрешаются только картинки. Например на anti-malware я задал фильтр:

@@http://www.anti-malware.ru/forum/$background,image

Это значит только картинки с главного сайта. Это вполне достаточно для того, чтобы сайт нормально функционировал.

Теперь переходим к загадке: Идём сюда.

В NoScript отображются следующие блокированные элементы:

385359077c72.jpg

В Adblock (который тоже умеет блокировать скрипты) отображается такая картинка: Нет блокируемых элементов на данной странице:

77a9adeb36e0.jpg

Теперь разрешаем все блокируемые элементы в NoScript:

a7fe8b7fba3b.jpg

А что мы видим в Adblock Plus? Там блокируется элемент 'script', который не отображается (значит и не может блокироваться) в NoScript:

31d0e0a7e9cc.jpg

К счастью, меня фильтр * 'спас'...

Paul

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Красиво... Интересно, разрабы NoScript в курсе?..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Красиво... Интересно, разрабы NoScript в курсе?..

Это лишь безобидная шутка со стороны Владимира Паланта, автора Adblock Plus. Giorgio Maone уже давно в курсе, но изменить ничего нельзя. Так работает Firefox. Есть эксплойты по-серьёзнее, которые я не в праве показывать, но можно не волноваться, однако: существует сообщество добрых людей, которые постоянно докладывают о новых находках тому и другому. Это лишь доказывает, что нельзя ни NoScript, ни Adblock Plus признать как полноценные программы защиты; кому не лень обходит их. Это важно честно признать по мере того, как Firefox становится более и более популярным, и добавляет всё больше и больше ненужных фичей... :)

P.S.: И наконец-то появился аргумент для представителей Индустрии Безопасности, которые всегда знали, что так краcиво не бывает, но не смогли доказывать это... ;)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А как же от этого защититься ??

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А как же от этого защититься ??

Встроить функционал NoScript + AdblockPlus в самом браузере.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В комментарии к соответствующему посту Владимира Паланта Maone пишет, что указанный скрипт NoScript хотя и не показывает, но, тем не менее, блокирует. - http://adblockplus.org/blog/more-extension-puzzles#c001639

Правильно ли я понимаю, что это в таком случае не слишком значительная дыра в безопасности?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Данная 'дыра' - безобидная шутка от Владимира Паланта. Он и Giorgio любят дразнить друг друга с такими вещами. НО: в NoScript есть серьёзные дыры. Например, через about:blank можно до сих пор перенаправлять на фишинговую страницу с 'нужной полезной нагрузкой'. NoScript против этого ничего не сделает.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Данная 'дыра' - безобидная шутка от Владимира Паланта. Он и Giorgio любят дразнить друг друга с такими вещами. НО: в NoScript есть серьёзные дыры. Например, через about:blank можно до сих пор перенаправлять на фишинговую страницу с 'нужной полезной нагрузкой'. NoScript против этого ничего не сделает.

Paul

Но скрипты-то на этом фишинговом сайте будут отключены или нет? Т.е. с базовой функцией запрета скриптов в данном случае NS справляется?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Но скрипты-то на этом фишинговом сайте будут отключены или нет? Т.е. с базовой функцией запрета скриптов в данном случае NS справляется?

Во-первых, не все атаки идут через скрипты. Во-вторых, если атакуется уязвимость в памяти через DoS (часто таких находятся), то тогда скрипты не обязательно нужны, и Firefox так же отупеет как Windows и все остальные. Мы не должны забывать, что решение защиты не может делать больше, чем позволяет та платформа на которой оно стоит. Если отупеет Firefox (платформа), то тогда и NoScript (решение безопасности) ничего не сделает и злостный код грузится без отказа... Повезло до сих пор, что дыры очень быстро закрываются. Giorgio всегда справляется за 2-3 часа с момента обнаружения. Но некоторых вещей просто нельзя решать - они зависят от самого браузера...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спасибо за разъяснение.

Отредактировал Umnik
оверквотинг

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Забыл сказать, что это как правило (и на практике) только относится к тем страницам, которые уже в доверенные. Разрешения для них могут отменить запреты для третьих сторон при определённых обстоятельствах. Исправления NoScript последнее время были именно такого типа, но они, естественно не разглашаются... :) Вы видели мой список доверенных в соседней теме - он пуст; то есть: доверенных нет. Только когда обязательно надо временно разрешаю. И настройка по умолчанию 'Base 2nd Level Domains' (noscript.net) изменил на 'Полные Адреса' (http://www.noscript.net).

Да, и потом AdblockPlus для меня ещё дополнительный слой, но это точно не каждому по душе...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS