https://www.opennet.me/openforum/vsluhforumID3/114344.html В Signal Desktop, построенной на базе платформы Electron версии мессенджера Signal для настольных систем, выявлены (http://seclists.org/fulldisclosure/2018/May/46) две уязвимости (CVE-2018-10994 (https://ivan.barreraoro.com.ar/signal-desktop-html-tag-injection/), CVE-2018-11101 (https://ivan.barreraoro.com.ar/signal-desktop-html-tag-injection-variant-2/)), позволяющие выполнить произвольный JavaScript-код в контексте JavaScript-движка приложения через отправку специально оформленного сообщения. Проблемы устранены в выпуске Signal Desktop 1.11.0 (https://github.com/signalapp/Signal-Desktop/releases/tag/v1.11.0), мобильные приложения проблемам не подвержены.<br><br><br><br><br>Первая уязвимость (https://ivan.barreraoro.com.ar/signal-desktop-html-tag-injection/) позволяет передать в сообщении специально оформленную ссылку, показ принятого сообщения с которой приведёт к выполнению JavaScript-кода без каких-либо действий со стороны пользователя. Например, отправка ссылки "http://hacktheplanet/?p=%3Ciframe%20src="/etc/passwd" https://www.opennet.me/openforum/vsluhforumID3/114344.html#65 Mon, 21 May 2018 21:41:12 GMT Уважаемый "Найнаним" прежде чем писать свои гневные комментарии в сторону Wire мессенджера и обвинять в том что они редиски. Вы бы хотя бы изучили ситуацию вокруг этого бага и узнали бы что настольный клиент не подвергся этой атаке, что впрочем нельзя сказать о Signal. <br><br>вот почитайте:<br>https://github.com/wireapp/wire-desktop/issues/1467<br> https://www.opennet.me/openforum/vsluhforumID3/114344.html#64 Sat, 19 May 2018 23:12:16 GMT А есть что-то лучше, удобнее и функциональнее его? Вот и молчи. <br> https://www.opennet.me/openforum/vsluhforumID3/114344.html#63 Fri, 18 May 2018 16:56:25 GMT И ещё, к тому же, судя по блокировки сайта в Крыму, он под крылом Гугл, хотя это явно нигде не упоминается.<br> https://www.opennet.me/openforum/vsluhforumID3/114344.html#62 Fri, 18 May 2018 16:44:46 GMT Конечно безопастнее. Браузер очень сильно ограничевает возможности javascript и даже те ограниченные функции которые есть могут или потребовать подтверждение пользователя или откажутся выполнатся, а сам браузер имеет многоуровневую защиту.<br>А через node.js можно всё что угодно делать без ограничений.<br> https://www.opennet.me/openforum/vsluhforumID3/114344.html#61 Fri, 18 May 2018 06:05:57 GMT Зачем ставить клиенты на ПК если есть веб версия?<br> https://www.opennet.me/openforum/vsluhforumID3/114344.html#60 Fri, 18 May 2018 04:36:28 GMT ничего, борьба с пережитками тоталитарного прошлого в государстве ведется день и ночь, и недалек тот день, когда умирать без уплаты пошлины будет запрещено, иначе штраф.<br> https://www.opennet.me/openforum/vsluhforumID3/114344.html#59 Fri, 18 May 2018 03:00:37 GMT &gt; Чтобы место на кладбище <br>&gt; досрочно оплачивалось.<br><br>Умрут все разом, никому ничего не нужно будет оплачивать.<br> https://www.opennet.me/openforum/vsluhforumID3/114344.html#58 Fri, 18 May 2018 02:16:06 GMT Свидетели телеграма, они такие<br> https://www.opennet.me/openforum/vsluhforumID3/114344.html#57 Thu, 17 May 2018 22:36:55 GMT Знал, что wire редиски. <br>Общаешься с ними - а они как заряженные, низкоквалифицированные продавцы ширпотреба, на "витрине" все ок, а по существу(зачем, например, вам сервак), либо виляют, либо отмораживаются.<br>