sab123 | и кто будет HTML чистить?

You're viewing

sab123's journal
Create a Dreamwidth Account Learn More

Reload page in style: site light

Изъ Супу пишутъ:

http://lj-support.livejournal.com/840844.html

<<
There is currently a CSRF designed to mislead you into believing LiveJournal is requesting your username and password, when the data is actually being requested by a third party who is trying to gain access to your account.

The attack will appear as though someone has left you a comment, but an image similar to the following will appear requesting your password:
>>

Ну и кто будет HTML в комментах чистить перед тем, как показывать, чтобы такая хня не случалась?

Threaded | Top-Level Comments Only

From:

spamsink

Согласно какому паттерну чистить прикажешь?

From:

brmail

а-а, прочел я исходное сообщение, это другая атака. она из комментов не выглядит как атака.
она в комментах выглядит как ссылка на картинку. А запрос картинки вызывает запрос авторизации

From:

sab123.livejournal.com

Как в Гугеле: все, что не разрешено, запрещено. То есть, скажем, весь джаваскрипт - в топку.

From:

sab123.livejournal.com

Да, такое небось фиг вычистишь.

From:

spamsink

Мой вопрос конкретно об этой атаке.

From:

brmail

теоретически можно воплотить схему , по которой внешние линки на картинки не будут отдаваться браузеру клиента напрямую. Те будет некоторое ретеншен тайм в просмотрах, например 10 или 100 , в течении которого запрошенную картинку будет скачивать сервер lj и отдавать браузеру клиента самостоятельно. Если попытка забрать картинку несколько раз обламывается, сервер метит коммент как спам и (мечтательно) банит нафиг писателя того коммента.
Это хороший вариант, но его фиг кто будет реализовывать.
Вариант второй - lj перестает принимать линки на внешние картинки от нетрастед серверов. Вон есть пикаса, ей и пользуйтесь