The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Инструмент аудита cross_fuzz позволил найти более ста ошибок во всех веб-браузерах

02.01.2011 10:59

После полугода с момента создания был представлен инструмент аудита cross_fuzz, который призван находить ошибки в веб-браузерах. Cross_fuzz выявляет проблемы путём создания чрезвычайно длинных закрученных последовательностей DOM операций, которые затрагивают несколько документов одновременно, при этом проверяя возвращаемые объекты, рекурсивно используя их и создавая круговые зависимости, таким образом проверяя способности веб-браузеров по правильному и эффективному освобождению памяти для более не используемых объектов. Код утилиты написан с использованием HTML/JavaScript.

С помощью cross_fuzz было найдено более ста ошибок во всех популярных веб-браузерах, включая Internet Explorer, Mozilla Firefox, Opera и веб браузерах, работающих на основе движка WebKit. Как утверждает разработчик, как минимум одна их найденных ошибок уже используются для проведения эффективных атак по заражению компьютеров пользователей.

Ситуация по решению ошибок обстоит следующим образом:

  • Internet Explorer: компания Microsoft была уведомлена в июле 2010 года. Данная утилита обнаружила несколько ошибок, приводящих к краху веб-браузера и нарушению целостности работы графического интерфейса. Данные ошибки можно использовать для проведения атак на целевые системы. К сожалению, даже в последних версиях IE некоторые критические ошибки до сих пор не устранены. Microsoft попросила разработчика отложить выпуск cross_fuzzer на неопределённый срок, однако корпорация отказывается привести причины почему оставшиеся нерешенные ошибки нельзя устранить, поэтому разработчик отказался от дальнейшего неразглашения.
  • Веб-браузеры на основе WebKit: Проект был уведомлён об ошибках также в июле 2010 года. Для отслеживания более двух десятков крахов был создан отчёт об ошибках 42959, однако в trunk версиях библиотеки некоторые проблемы до сих пор не устранены.
  • Firefox: Mozilla была уведомлена в июле 2010 года. Около 10 ошибок отслеживаются в отчёте об ошибках за номером 581539, некоторые из ошибок были устранены в недавно выпущенных версиях Mozilla Firefox. Также разработчик Jesse Ruderman из сообщества Mozilla создал инфраструктуру отслеживания подобных ошибок в отчёте 594645, с помощью которой было найдено ещё 50 ошибок. Некоторые из последних найденных ошибок всё ещё прослеживаются в trunk-версиях данного веб-браузера.
  • Opera была уведомлена в июле 2010 года. Разработчики утверждают, что все легко воспроизводимые крахи веб-браузера были исправлены в Opera 11. Некоторые ошибки, которые достаточно сложно воспроизвести, ещё не исправлены.


  1. Главная ссылка к новости (http://lcamtuf.blogspot.com/20...)
Автор новости: Artem S. Tashkinov
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/29183-security
Ключевые слова: security, JavaScript, Mozilla, Firefox, Internet, Explorer, Opera, WebKit
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (71) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, pasha (??), 11:39, 02/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Павильно, майкрософту очень __невыгодно__ заделывать дырки безопасности в браузерах...  ибо антивирям нечего будет лечить......  берешь продукт от майкрософта = заводишь проститутку, а ей нужен "доктор" - антивирь..
     
     
  • 2.3, botman (ok), 11:55, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • –4 +/
    у них есть свой антивирус, для особо бедных и жадных на всякие критические обновления и доводку настроек безопасности под себя... просто его не разрешают включать в базовую систему и его ставят отдельно... чаще, конечно, не ставят и ничего не меняют... Windows 7 вообще не людьми делался... не для людей.
     
     
  • 3.6, Kai (?), 12:23, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Сотни миллионов юзеров с вами не согласятся )
     
     
  • 4.9, klalafuda (?), 12:33, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Сотни миллионов юзеров с вами не согласятся )

    Кто ж их спрашивать то будет? Они все так - ошибка Природы. Досадная погрешность статистики не более.

     
  • 4.11, botman (ok), 13:17, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Сотни миллионов юзеров с вами не согласятся )

    Я посмотрел http://windows.microsoft.com/ru-RU/windows7/products/videos с ноутбука и мне это совсем не понравилось, особенно на тачпаде, особенно когда ноутом пользуется непривыкший к инновациям человек.

     
     
  • 5.15, Аноним (-), 13:45, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    мда. посмотрел эти видео. девушка то красиво говорит. вот только работать с этим невозможно. виндовс медиаплоер как был убожеством, так им и остался. интересно а глобальные комбинации клавиш хоть потдержуются?

    "подведите мышь сюда, щелкните здесь, потрясите окно и добрый дядя боллмер споет песенку". фу. гном наше фсьо. а миллионы пусть дальше хавают эту виндовс.

     
     
  • 6.19, Gular (ok), 14:34, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    гуглохром пишет missing plugin. там на сервилате видео?
     
     
  • 7.22, Аноним (-), 14:49, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    wmv
     
  • 5.69, skuzko (?), 22:15, 04/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Я посмотрел http://windows.microsoft.com/ru-RU/windows7/products/videos с ноутбука и мне это совсем не понравилось, особенно на тачпаде, особенно когда ноутом пользуется непривыкший к инновациям человек.

    Только у меня на видео лаги заметны? 0_о
    Такое ощущение, что это кеды на древнем нетбуке запустили -_-

     
  • 3.17, Lain_13 (?), 14:05, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Кстати. Парадоксально, но факт. Этот антивирус лучше, чем популярный в народе NOD32 (например: http://soft-club.ucoz.ru/news/shestoe_testirovanie_antivirusov/2010-10-08-173). Более того, в плане обнаружения известной дряни он очень даже не плох.
    Хоть тут М$ сделали нечто условно полезное для своих пользователей.
     
     
  • 4.18, Anon2048 (?), 14:15, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Они не делали, они купили компанию-разработчика.
     
     
  • 5.32, Аноним (-), 16:46, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    мега лол. ничего нормального сами сделать не могут.
     
  • 5.40, анон (?), 18:09, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    По твоему, Балмер лично должен был отправлять патчи?
     
  • 4.41, тоже Аноним (ok), 19:35, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Популярность в народе - это, пожалуй, единственное достоинство НОДа.
    Впрочем, есть и второе - легендарная скорость работы.
    Собственно, первое - следствие непонимания причин и следствий второго ;)

    > в плане обнаружения известной дряни он очень даже не плох

    Вам в последнее время часто попадается известная дрянь? Мне - часто, у меня юзеры энергично получают второе высшее и натаскивают из вузов черт знает что.
    Но лечить машинки приносят в основном со свежей заразой - винлокеры те же выходят чуть не ежедневно. И какой смысл в антивирусе, который только и умеет, что "обнаружение известной дряни"?

     
     
  • 5.44, Карбофос (ok), 21:02, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    если человек эникейщик, то без разницы, сколько у него образований. он хоть как айти-дуб. а дипломами они могут перед бабушками трясти.
    вот как раз, неведомую, самопальную дрянь, антивирь тоже должна хорошо находить.
     
     
  • 6.51, тоже Аноним (ok), 23:48, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Вы точно со мной разговариваете? И точно в этой теме?

    Можно аргументировать, с чего антивирусу хорошо находить неведомую, самопальную дрянь, если очередной штамм этой дряни только тем и отличается от предыдущего, что замусорен до полного неопознания сигнатурными антивирусами?

     
     
  • 7.52, Карбофос (ok), 23:58, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    точно в этой теме. зачем я должен аргументировать банальные вещи?
     
     
  • 8.53, тоже Аноним (ok), 00:16, 03/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Боже упаси, низачем не должны Ну, не случилось взаимопонимания Бывает Не буде... текст свёрнут, показать
     
  • 4.43, Карбофос (ok), 21:00, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    робяты из софт-клуба (!!!) покруче ребяток из phoronix'а по результатам тестов.
     
     
  • 5.66, Perl_Jam (?), 21:37, 03/01/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    <offtop>
    эх, ребята, забыли вы счастливые времена, когда каждый зверь был шедевром. достаточно посмотреть исходники onehalf, vienna.643 ... да тому же стоуну можно поставить памятник просто за "популярность" и размер, это вам не нынешние троянские слоны =)
    и вообще, сколько было прекрасных полиморфов и стелсов, которые надо было плотно по-аналайзить сначала.. а вы сигнатуры, сигнатуры.. эх, нет в нынешних зверях искры божьего гнева, скоро писать их будут даже не на делфи, а чувствую, на питоне..
    </offtop>
    =) с наступившим всех! =)
     
  • 3.45, User294 (ok), 21:44, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    О да Вместо того чтобы оперативно фиксить дыры, майкрософт традиционно занимает... большой текст свёрнут, показать
     
     
  • 4.61, Crazy Alex (??), 17:53, 03/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Мне вот другое непонятно: они ж там должны это всё осознавать. Ну ладно там - принципиальные проблемы, вроде необходимости перезагрузки системы для установки патча, и как следствие - выпуск обновлений раз в месяц (хотя для десктопа явно предпочтительнее лишний раз перезагрузиться). Но вот почему не сделать конкурентоспособный безопасный браузер - я правда не понимаю. Ресурсов-то у них хватает. Чем им лучше, что к юзеру на десктоп пролезает опенсорс в виде мозиллы или гугловский хром?
    Почему "маркет" для приложений не сделать, как сейчас модно, и гнатьустановку/ обновления стороннего софта через него? Еще и прибыль бы получили - чем держать совй электронный магазин или использовать сторонний явно масса мелких производителей софта предпочла бы родной майкрософтовский. Если нагрузки велики будут (что вполне может быть - пользователская база большая)- так можно было бы для фривари/опенсорса держать всё на сервере разработчика, а в маркете - только подписи/хэши...
    В общем, странно. Ну ладно "корпорация зла" - но не дураки же они?
     
  • 2.5, klalafuda (?), 12:12, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +/

    Микрософту то, бедному, что за радость с этих антивирей :-?
     
  • 2.34, szh (ok), 16:54, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > майкрософту очень __невыгодно__ заделывать дырки безопасности в браузерах...

    нет, выгодно.

     
     
  • 3.46, User294 (ok), 21:55, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > нет, выгодно.

    И так и сяк, имхо. С одной стороны, багфиксинг дохода не приносит. Вообще. Поэтому по умолчанию любая коммерческая фирма первым делом постарается сэкономить на отлове и починке багов. В конечном итоге, традиционным проприетарщикам главное - продать. А что там потом с вами случится - всем пофигу. В лицензии написано AS IS? Ну вот и хавайте. А то что будет вкусно - никто и не обещал. С другой стороны, бэкслэш и плохая репутация в области секурити никого не красят. А если клиент зайдя на сайт получает трояна и потом его работа встает - он,  определенно, недоволен. Поэтому дыры все-таки стараются чинить. Только вот в компаниях типа майкрософта - ботообразным человековинтикам в саппорте и R&D в общем то глубоко плевать на вас, ваши проблемы, проблемы продуктов, клиентов и прочая.

     
     
  • 4.50, Карбофос (ok), 22:48, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    напрямую нет, косвенно - да. когда для конторы важнее подавать половинчатые решения, выдавая их за решение всех проблем, то для них такой маркетинг будет всегда важнее и качественное латание дыр и качественный софт вообще - одно из последних дел. маркетингом облопошить дилетантов и стричь капусту, занимаясь патентовым троллингом.
     

  • 1.2, botman (ok), 11:45, 02/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    Брались голые браузеры, без ничего... разве это тест? это какой-то сферический конь в вакууме.
     
     
  • 2.4, klalafuda (?), 12:08, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Брались голые браузеры, без ничего... разве это тест? это какой-то сферический конь в вакууме.

    Ээээ... Пардон, а с чем собственно должны быть браузеры, чтобы тест был более объективным :-? Естественно не в масштабах конкретно заданной машины Васи Пупкина но в масштабах всей Сети с характерными пользовательскими настройками и расширениями.

    Допустим, то, что N человек используют NoScript а фоксе (и лишь N/10 делают это осмысленно и корректно) мало кого волнует, если, скажем, остальные N*1000.. пользователей ничего о нем не слышали и, очевидно, использовать никогда не будут.

     
     
  • 3.10, botman (ok), 12:59, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Ээээ... Пардон, а с чем собственно должны быть браузеры, чтобы тест был
    > более объективным :-? Естественно не в масштабах конкретно заданной машины Васи
    > Пупкина но в масштабах всей Сети с характерными пользовательскими настройками и
    > расширениями.

    Это скорее экстремальный тест движка браузера чем что-то о чём вы с пафосом тут напечатали, а именно "но в масштабах всей Сети с характерными пользовательскими настройками и расширениями". На неубиваемость движка лучше вообще не надеяться и не гонять как самоубийца там где не следует.

    > Допустим, то, что N человек используют NoScript а фоксе (и лишь N/10
    > делают это осмысленно и корректно) мало кого волнует, если, скажем, остальные
    > N*1000.. пользователей ничего о нем не слышали и, очевидно, использовать никогда
    > не будут.

    Да при чём тут NoScript? Вы ещё заявите что Adobe Flash, Adobe Reader и прочие расширения типа "Silverlight" поставлены на N машинах, а на остальных N*1000 вообще не стояло и не будет стоять никаких дремучих версий Flash и Adobe Reader, потому-что они все такие непривиредливые, белые и пушистые. Firefox хоть позволяет проверить эти экстэншены и обновить их, а при отсутствии возможности отключить их к чёртовой бабушке. А об AdBlock Plus с подписками по регионам, да и о возможностях NoScript уже многие слышали, и частенько используют эти или подобные плагины не от того что они хотят выделиться из серой массы, и не обязательно делают это в Firefox.

     
     
  • 4.29, stimpack (?), 16:40, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    ну там где крахи - там и дыры. лучше залатать их сегодня, чем получить через них более серьезные проблемы завтра.
     
  • 2.12, iCat (ok), 13:26, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Брались голые браузеры, без ничего...

    Именно голые, без "ничего", ибо то, что "чего" - это уже не браузерово дело :)
    В конце концов, если в уазике поменять мосты, коробку и движок, то на нём вполне можно ездить ;)

    Или, на Ваш взгляд, дело браузера - только декорации окошек?

     
     
  • 3.16, botman (ok), 13:58, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Да нет, это всё замечательно что движки латают, я всеми руками и ногами за! Но, блин, они каждый год это делают и каждый год находят дырищ не меньше чем в предыдущем году залатали. Поэтому лучше уж пусть браузер декорациями окон управляет чем безконтрольно лазает по интернету и выполняет неизвестно какие задачи. Сейчас развелось этих контекстных рекламщиков и банеропоказывалок хоть попой жуй, нафиг мне этот телевизор с бесконечной рекламой вместо интернета.
     
  • 3.37, уазик (?), 17:27, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    уазик пройдёт там, где все джипы, может быть кроме хаммаера, встанут
     
     
  • 4.42, flint (??), 20:11, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Джип - понятие абстрактное, если не считать название компании.
     
  • 4.59, iCat (ok), 16:42, 03/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >уазик пройдёт там, где все джипы, может быть кроме хаммаера, встанут

    хаммер супростив с LandCruiser - "всё равно что плотник супротив столяра".

    А вот Браузер обязан обеспечивать качественный веб-сёрфинг. Не зависимо от количества и качества установленных "плугинов".

     
  • 2.47, User294 (ok), 21:58, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Брались голые браузеры, без ничего... разве это тест? это какой-то сферический конь
    > в вакууме.

    Если уж с голыми браузерами такой капец, то если добавить в браузер еще что-то - будет вообще полный швах. Чем больше кода, тем больше в нем багов потенциально. Багов браузера недостаточно и предлагается отхватить багов еще где-то? А почему это надо делать в рамках тестирования браузеров то? В браузерах столь мало проблем что предлагается искать их еще и в постороннем коде? oO

     

  • 1.7, Аноним (-), 12:28, 02/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как вы, черт побери, физически представляете себе использование NoScript, скажем, если приходится работать с сайтами, у которых в принципе фронт-энд построен на JS?
     
     
  • 2.8, klalafuda (?), 12:32, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Как вы, черт побери, физически представляете себе использование NoScript, скажем, если приходится работать с сайтами, у которых в принципе фронт-энд построен на JS?

    ExtJS! ExtJS! Скандируют трибуны.. ;)

     
     
  • 3.13, iCat (ok), 13:29, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> Как вы, черт побери, физически представляете себе использование NoScript, скажем, если приходится работать с сайтами, у которых в принципе фронт-энд построен на JS?
    > ExtJS! ExtJS! Скандируют трибуны.. ;)

    Угу... "Слой_изоленты-слой_ваты-слой_изоленты-три_презерватива-целлофановый_пакет-резиновая_женщина"


     
     
  • 4.30, stimpack (?), 16:44, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Как вы, черт побери, физически представляете себе использование NoScript, скажем, если приходится работать с сайтами, у которых в принципе фронт-энд построен на JS?
    >> ExtJS! ExtJS! Скандируют трибуны.. ;)
    > Угу... "Слой_изоленты-слой_ваты-слой_изоленты-три_презерватива-целлофановый_пакет-резиновая_женщина"

    Увы, ajax перевернул интернет. и слава богу. Например, появилась возможность делать осмысленные web-программы (не обязательно на extJS), а не просто информационные табло, которыми до этого являлось 90% сайтов.

     
     
  • 5.54, fyjybv (?), 02:12, 03/01/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    осмысленность, она в головах, а не в ajax'е.
    если кто-то не может без этой свистоперделки сделать вменяемое приложение, то "вон из профессии"
     
     
  • 6.56, К.О. (?), 10:07, 03/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ну-ка, сделайте мне на голом HTML (без JS/DOM) вменяемую форму ввода с проверкой ввода по мере заполнения полей без полной перезагрузки страницы. Это самое простое, что пришло в голову.
     
     
  • 7.58, тоже Аноним (ok), 14:17, 03/01/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Проверка ввода - вспомогательный механизм, отключение которого не должно влиять ни на что, кроме удобства пользователя. Разве не так?
    Например, у меня на сайте нужно нажать кнопку, чтобы купить ключ. Если JS включен - кнопка заменяется ключом без перезагрузки страницы. Если выключен - срабатывает как отправка формы. Стандартное же решение...
     
  • 6.62, szh (ok), 18:16, 03/01/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > осмысленность, она в головах, а не в ajax'е.
    > если кто-то не может без этой свистоперделки сделать вменяемое приложение, то "вон из профессии"

    ты свои hello world приложениями не называй, и все станет на свои места, великий пейсатель форм

     
     
  • 7.64, Crazy Alex (??), 18:24, 03/01/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> осмысленность, она в головах, а не в ajax'е.
    >> если кто-то не может без этой свистоперделки сделать вменяемое приложение, то "вон из профессии"
    > ты свои hello world приложениями не называй, и все станет на свои
    > места, великий пейсатель форм

    А "вменяемые приложения" должны быть логически отделены от страницы, например как во флеше/сервелате/прочих плагинах. Выделяется отдельный кусок окна, и за его пределеми без специальных мер приложение ничего сделать не может. В плане безопасности, а особенно в плане защиты приватности такой вариант на порядок лучше, чем нынешняя модель.

     
     
  • 8.65, szh (ok), 18:38, 03/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ты предлагаешь чтобы js не мог работать с DOM Радикальный даунгрейд возможност... текст свёрнут, показать
     
  • 5.63, Crazy Alex (??), 18:21, 03/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А потом ЭТО невозможно сохранить/обработать автоматикой/дать ссылку, зато можно получить кучу глюков, связанных с JS, неадекватную реакцию на плохое соединение это вообще сплошь и рядом, начиная с GMail), утечки приватных данных и т.д. В этом плане веб как источник информации с появлением аякса только ухудшился - то, что раньше делалось связкой Google + wget + grep, сейчас приходится руками перебирать.
     
  • 2.14, botman (ok), 13:38, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Цель ведь не отказаться от JS, а заблокировать его использование на сайтах непонятного происхождения. Сайты с версией фронт-энда без JS я встречаю сплошь и рядом, а вот построенные исключительно на JS - только сайты с разным мусором. Мне мусор не нужен, а вам?
     
     
  • 3.21, filosofem (ok), 14:39, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вредоносный код могут пропихнуть на любой сайт. Панацеи не существует и NoScript при всех плюсах далек от панацеи.
    Только комплексный подход и контролируемая паранойя дают некоторую гарантию защищенности.

    ЗЫ Прогнал фузз в ночных сборках фаерфокса 3.6 и 4.0, никаких крэшей и течек не обнаружилось.

    ЗЫЗЫ Просмотр кода навел на мысль, что полезной функцией для защиты было бы не блокировка джаваскрипта на основе домена и адреса как в NoScript, а запрет некоторых сомнительных функций вроде eval() и конструкций потенциально эксплойтящих уязвимости браузера. Нормальные програмеры их все равно не используют.

     
     
  • 4.31, stimpack (?), 16:46, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > ЗЫЗЫ Просмотр кода навел на мысль, что полезной функцией для защиты было
    > бы не блокировка джаваскрипта на основе домена и адреса как в
    > NoScript, а запрет некоторых сомнительных функций вроде eval() и конструкций потенциально
    > эксплойтящих уязвимости браузера. Нормальные програмеры их все равно не используют.

    А меня ваша мысль навела на мысль об оригинальной иконке для управления степенью запрета скрипта в строке статуса браузера: полностью голая жопа (для внешнего вторжения), голая наполовину, на треть и полностью в бронированных труселях.

     
     
  • 5.38, filosofem (ok), 17:36, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >и полностью в бронированных труселях

    Согласен, но только не забывайте, что на каждую хитрую жопу в бронированных труселях найдется болт с автогеном.

     
  • 2.48, User294 (ok), 22:01, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Как вы, черт побери, физически представляете себе использование NoScript, скажем, если
    > приходится работать с сайтами, у которых в принципе фронт-энд построен на JS?

    Разрешите JS только для хостов которым доверяете. А зачем вам выполнять JS с какого-то непонятного хоста который вообще к сайту не относится? Как бонус - всякие говнорекламеры с нежелательной активностью типа внезапно вылетающих "попапов" закрывающих полстраницы - тоже неплохо пролетают.


     

  • 1.20, raptor (?), 14:37, 02/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Можно подробнее про Оперу (напр. ссылку). Просто пользуюсь ей и новость заинтересовала.
     
  • 1.23, Аноним (-), 15:10, 02/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Судя по новости, Opera наименее глючная и баги исправляются наиболее оперативно, несмотря на закрытый код.
     
     
  • 2.24, raptor (?), 15:17, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, пользуюсь оперой давно и убедился что некоторые косяки не исправляются месецами, а то и годами. 11 версия - первая (после 10.10) в которой старые косяки исправляют (перемены в компании произошли)
     
     
  • 3.25, Аноним (-), 15:22, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну да, согласен, но я, как и в новости, имел в виду 11-ю версию и выше.
     
  • 2.35, Аноним (-), 17:01, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Хе-хе, судя по господам минусующим, такое у них отношение к объективному сравнению браузеров, где выигрывает Opera. Напоминает женское "ты не прав потому что мне не нравится тво
     
  • 2.36, Аноним (-), 17:01, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Хе-хе, судя по господам минусующим, такое у них отношение к объективному сравнению браузеров, где выигрывает Opera. Напоминает женское "ты не прав потому что мне не нравится твое мнение".
     

  • 1.26, pavlinux (ok), 15:51, 02/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А у меня, в Firefox, забавный глюк -
    1. Открывают Ютюб, запускаю песню.
    2. Открываю вторую вкладку с ютюб, запускаю другую песню.
    3. Сразу же закрываю первую вкладку.
    4. Но то, что игралось в первой, так и продолжает петь, вместе с тем, что на второй.

    Вот такой многоканальный плеер :)


     
     
  • 2.27, botman (ok), 16:02, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    прикольный глюк, это flash или mplayer так глючит?
     
     
  • 3.28, pavlinux (ok), 16:10, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Скорее flash 64-битный (Shockwave Flash 10.2 d161), хотя фиг его знает, не всегда глючит.
     
     
  • 4.39, botman (ok), 17:47, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Скорее flash 64-битный (Shockwave Flash 10.2 d161), хотя фиг его знает, не
    > всегда глючит.

    попробуй обновить на 64-битный Flash 10.3 d162, глючит гораздо меньше предыдущих релизов, плюс акселерация на нём у меня завелась в Linux, практически такой-же быстрый как VDPAU у mplayer.

     
  • 2.33, stimpack (?), 16:49, 02/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Это из серии "если вы нечаянно вызвали ментов, они всегда найдут преступника"


     

  • 1.49, Трухин_Юрий_Владимирович (ok), 22:34, 02/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    вы хоть сами-то пробовали? у меня ничего не крашится... все странички открылись. а то что счетчик написал 200x - я не знаю что это. мало ли кто что мог написать. все странички открылись и я скрины сделал. при чем тут крахи... http://img5.imageshack.us/i/captureik.png/
    http://img218.imageshack.us/i/capture2pu.png/
     
     
  • 2.57, Gera (??), 12:38, 03/01/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Какое извращение! Мне за вас стыдно... Даже слов нет! =(
     
     
  • 3.67, Трухин_Юрий_Владимирович (ok), 21:40, 03/01/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    в чем извращение? в том, что все работает?
     
  • 2.60, demimurych (ok), 17:34, 03/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    простите на какие? ни в тексте новости ни в ссылке на оригинал ссылок для ИЕ нет.
    или я что то пропустил?
     

  • 1.68, szh (ok), 00:49, 04/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ого!
    You are not authorized to access bug #594645.
     
  • 1.70, Трухин_Юрий_Владимирович (ok), 15:48, 05/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересная статья о безопасности ПО http://soft.cnews.ru/articles/safe/186/
     
     
  • 2.71, szh (ok), 01:21, 06/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    и в этой статье все счетчики багов у майкрософт занижены, как мы видим из данной новости.
    Майкрософт баги замалчивает, по полгода держит пользователей в опасности, в то время как остальные их признают и исправляют. Твой собрат по МС пиару смачно переврал ситуацию.
     
     
  • 3.72, Трухин_Юрий_Владимирович (ok), 12:15, 06/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    статистика уязвимостей взята с secunia. можете посмотреть сами
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру