Бложек теперь на old.mrThe.name. Следите за обновлениями.

Версия Opera: 10.00. Возможно предыдущие.
Удалённое использование: нет
Опасность: отсутствует(крайне низка)
OS: windows
.
Пользователь FeraS, форума antichat нашел небольшой баг в опере:
если в адресную строку ввести запрос вида “//http//mrthe.name” опера зависает на ~15 секунд. Небольшое исследование показало, что браузер пытается найти файл на диске, но что интересно: не наблюдается нагрузка процессора, оперативной памяти, или жесткого диска.
Так же опера подвисает при запросе “file://http/1″, что доказывает то, что опера пытается открыть локальный файл.
.
Установка этого адреса в фреймы, редиректы, и адреса картинок ни к чему не приводит, опера автоматически добавляет в начало “http://”, что не даёт использовать уязвимость.

Теги: ,
Sep, 28 Уязвимости | 3 комментария
 

На самом деле, опера очень любит гугл. А вот Google Analytics – не очень. Нет, отображается всё нормально. Кроме заголовка:
Google-anal
Вот как жестоко опера обращается с гуглом.

Теги: , , ,
Sep, 11 etc | Один комментарий
 

Я думаю многие знают о такой децентрализованной системе авторизации как OpenID. И некоторые даже знают как она работает. У неё есть свои минусы и плюсы, но сейчас не о них. Сейчас я расскажу о сайтах которые поддерживают авторизацию через OpenID.
.
Что в этом может быть плохого? Ведь это же наоборот хорошо, когда пользователю не нужно постоянно вводить данные, достаточно ввести URL по которому будут запрошены его данные… А вот и оно. Сайт обращается по ссылке переданной ему. Предположительно это ссылка на OpenID пользователя. Но туда можно вставить абсолютно любой линк, и к нему всё-равно обратятся. А если это сделать 10 раз в секунду? А если с нескольких таких сайтов\сервисов?
.
Вот и получается, что если вы используете OpenID вы можете оказаться ботом, через которого пойдёт ДДоС атака на чей-то сайт. Вы от 10 запросов в секунду не умрёте, но поможете злоумышленнику убить сайт. Ведь сайтов поддерживающих OpenID много, и если с каждого взять по 10 запросов то выйдет более 10 000 запросов в секунду. При чём это далеко не предел.
.
Как от этого защититься?

Читать далее »

Теги: , ,
Sep, 5 Уязвимости | 2 комментария
 

Или немного о поиске в интернете, и почему поисковым машинам нужно совершенствоваться.
.
Допустим, я хочу купить печенек. Я иду в гугл, и пишу “печеньки”. Обычно я вижу что-то типа ссылок на википедию, описания что такое “печеньки” и тд. Тогда я пишу “купить печеньки”. Обычно, на этом этапе я их нахожу. А если я хочу печеньки посыпанные php, или печеньки – это очень редкий товар? Тогда я тоже ничего не найду. Но, я же точно знаю, что кто-то их продаёт!
.
А вот теперь я пишу “продам печеньки“! Неожиданно? Но так я действительно найду тех, кто их продаёт, и куплю их! Вот так, вполне очевидные вещи видно не сразу.
И почему ещё поисковики не приравняли слова “куплю” и “продам“? Ведь захотя продать печеньки, мне нужно будет найти покупателей по запросу “куплю печеньки”! Хотя, тут тоже есть куча тонкостей, например запрос “цена покупки доллара” далеко не тоже самое, что “цена продажи доллара“.

Теги:
Aug, 30 etc, Алгоритмы | 2 комментария
 

Рано или поздно все задумываются о хранении паролей пользователей. Многие останавливаются на алгоритме md5. Двойном md5, солёном md5 (salt md5) и других его разновидностях… Да, хорошая, длинная соль(salt) и не стандартная комбинация пароль+соль+md5 делает хеш достаточно сложным, что бы его нельзя было найти в базах. Но, если ваш сайт\сервер будет взломан, и будет получен доступ к базе данных и к файлам – брутфорс паролей не станет проблемой.
.
Как же с этим бороться?
.
Читать далее »

Теги: , , , ,
Aug, 16 c++, etc, Алгоритмы | 7 комментариев