Метка «браузеры» - 19

в 16:50, , рубрики: chrome, Google, Google Chrome, webkit, xss, аудит безопасности, браузеры, Веб-разработка, информационная безопасность, уязвимости, метки: , , , , , , 
О том, как Chrome мешает мне искать XSS-уязвимости.

Почему я ищу уязвимости?

Как и многие из вас, я делаю Code Review и первое, что ищу это конечно уязвимости. Когда уязвимость найдена в коде, хорошо бы проверить есть ли она на самом деле через браузер, потому что бывают «ложные тревоги». Это те случаи, когда данные уже приходят фильтрованными и XSS невозможен. Всегда полезно иметь возможность показать разработчику атаку в действии, потому что это хороший аргумент и помогает быстрее перейти к конструктивному решению проблемы, если есть сомнения, что уязвимость таки существует. Но проверку в браузере я делаю не часто — либо проблема очевидна прямо из кода, либо верят на слово. В общем искать уязвимости — это интересно.

Начало этой истории

Друг скинул ссылки на сайт, который ещё год назад имел XSS-уязвимость, о чем я писал владельцам ресурса. Стало интересно проверить снова. Проверил — XSS есть, но вот простейшего подтверждения выполнения JS я получить не смог!..

Google Chrome хакеру не помощник

Я не ломаю сайты и не занимаюсь аудитом безопасности, поэтому возможно то, что я выяснил давно известно для специалистов, но для меня это было открытием.

Первые подозрения

Итак, стал проверять всевозможные варианты внедрения кода — но без результата. По ходу дела выяснил что и как фильтруется, какие есть проверки и прочее, но alert(1); упорно не выполнялся. По ходу дела нашелся ещё и XSRF — приятный бонус!
Читать полностью »

в 19:20, , рубрики: браузеры, информационная безопасность, копирайт, яндекс, метки: , , ,

Знали вы об этом или нет, но у Яндекса уже «давно» есть свой браузер, под гордым названием Яндекс.Интернет. Браузер создан на базе браузера Chromium, и следовательно на открытом коде.

Суточная аудитория у этого браузера не такая уж и маленькая: Хром (Яндекс) 1,027,563 1.3%

А теперь давайте вспомним несколько скандалов, связанных с «утечкой» данных в Интернет, а именно списки покупок в интим-магазнах, на сайтах продажи билетов и смс-ок от мегафона, и посмотрим, что по этому поводу можно нарыть в лицензионном соглашении этого браузера. И может быть, после этого все вопросы о том, как такое могло оказаться в общем доступе, отпадут сами собой.

Читать полностью »

в 6:45, , рубрики: Formspring, браузеры, Викиреальность, кросс-платформенность, перевод с английского, метки: , , , ,

Утром во вторник 10 апреля 2012 года я увидел, что некий аноним в моём формспринге задал вопрос о том, что я думаю о статьях «Межсистемность» и «Межобозревательность», появившихся в сетевой вики-энциклопедии «Викиреальность» в феврале трудами участника, действовавшего под псевдонимом «Five Dollars».

А так как сообщество Хабрахабра проявляет заметный и неослабный интерес к вопросу о выборе между варваризмом и словородностью при переводе иностранных терминов (чего стоит хотя бы обсуждение перевода «Retina display», перевалившее далеко за сотню комментариев!), то я счёл формат Хабрахабра куда более подходящим для изложения своих воззрений, нежели формат Формспринга, где даже редактирование не предусмотрено.

Начну прежде всего с того, что термины «межсистемность» и «межобозревательность» представляются мне шагом, совершённым в правильном направлении — от варваризмов «кросс-платформенность» и «кросс-браузерность» к языку несколько более русскому.

Мне также кажется, однако же, что этот шаг может быть продолжен, потому что результат его ещё не безупречен и поддаётся дальнейшему существенному улучшению.

Читать полностью »

в 0:02, , рубрики: Firefox, Google Chrome, internet explorer, opera, windows, windows 7, Windows 8, браузеры, метки: , , , , , ,

Если продолжительность работы вашего ноутбука или нетбука без подзарядки оставляет желать лучшего, то Вас вероятно заинтересует сравнительный тест среди браузеров по показателю потребления питания.
Какой браузер позволит дольше сохранить заряд вашей батареи?
Продолжение под катом.
Читать полностью »

в 7:07, , рубрики: chrome, Extensions, Google, Google Chrome, браузеры, информационная безопасность, паранойя, расширения, метки: , , , , , ,

В конце февраля 2012 года разработчики Google Chrome существенно обновили черновую документацию по созданию расширений. В частности была предложена новая версия файла для описания внутренних ресурсов расширений — manifest version 2. И главной его особенностью стало ужесточение политики безопасности контента, по умолчанию.

Детектирование установленных расширений Google Chrome

Намедни же состоялся стабильный релиз долгожданного Google Chrome 18, и с этого момента разработчики расширений могут начинать внедрение произошедших изменений, ну а пока…
Читать полностью »

в 9:24, , рубрики: Extensions, javascript, opera, userjs, браузеры, расширения, метки: , , , , ,

Всевидящее око Очень давно, еще в самом начале знакомства с jQuery, захотелось мне иметь инструмент, показывающий, к каким элементам на странице прицепились события и что это за события вообще. В тот момент мне не удалось найти ничего подобного. Не сказать, чтобы я очень сильно искал, но ни FireBug ни позже появившийся Dragonfly подобного функционала не имели.

Периодически я вспоминал об этой идее, но беглый взгляд в гугл не давал ничего интересного. До недавнего времени.

Когда в январе мне снова захотелось посмотреть, а не появилось ли чего интересного на эту тему, я нашел прекрасный букмарклет Visual Event 2, написанный Allan Jardine. Букмарклет работал как часы, но нашлась и пара ложек дегтя, маленьких, но неприятных.

Я использую Оперу и все букмарклеты на панели инструментов имеют одинаковую иконку: Иконка букмарклета. Стоит добавить пару-тройку таких закладок и ориентироваться среди них становиться весьма некомфортно. Второй неприятный момент — букмарклет грузил весь свой код с сайта разработчика, что приводило пусть к небольшим, но задержкам.

Поэтому было решено оформить букмарклет в виде расширения для браузера Opera. К тому же я давно хотел познакомиться с Opera Extension API. Вот ссылка на страницу расширения для самых нетерпеливых. Остальных же прошу под кат, где описаны все этапы конвертации букмарклета в расширение для Оперы, проблемы, с которыми я столкнулся и методы их решения.
Читать полностью »

в 22:21, , рубрики: chrome, браузеры, метки: ,

Российский программист получил 60 тысяч долларов за найденную уязвимость Chrome

Некоторое время назад корпорация Google объявила об очередном этапе конкурса, в рамках которого сторонним разработчикам выделяется вознаграждение за найденные в ПО «Корпорации добра» баги. Предусмотрен довольно большой фонд в размере 1 миллион долларов. Об этом уже писали на Хабре, так что рассказывать обо всем подробно нет смысла. Сейчас новость другая — дело в том, что уже есть первый человек, который получил вознаграждение. Получил первую премию российский программист, студент ТюмГУ, которого зовут Сергей Глазунов (кстати, нету ли его на Хабре?). РазмерЧитать полностью »

в 3:53, , рубрики: css, css2.1, css3, css4, w3c, webkit, браузеры, версии, интриги, котята, модули, пиар, префиксы, расследования, скандалы, стандарты, статусы, утопия, метки: , , , , , , , , , , , , , , , , ,

Веб-стандарты / В продолжение темы защиты котят
Итак, неподражаемая Лиа Виру с ее блистательным призывом не позволить браузерной отсебятине причинить вред беззащитным пушистым созданиям, была услышана и на Хабре (если кто-то пропустил — срочно ознакомьтесь c переводом lahmatiy чуть ниже или моим переводом на css-live.ru — не пропадать же труду). Мы уже наслышаны о панике последней недели из-за намерения браузеров поддерживать чужие префиксы. Кто-то, возможно, успел подписать петицию против этого безобразия (как я). Кто-то, напротив, прислушивается к доводам Тантека Челика (между прочим, создателя микроформатов) и других экспертов, убеждающих, что не так всё страшно и еще немного бардакаЧитать полностью »

в 12:51, , рубрики: Google, Google Chrome, браузеры, метки: , ,

Вчера компания Google перевела в канал обновлений Stable версию браузера Chrome под номером 17. Работа была проведена большая, учитывая количество обнаруженных и исправленных уязвимостей — 20 штук, из которых одна критическая и восемь с высокой степенью опасности. Не считая исправлений багов и уязвимостей, в браузер были внедрены новые возможности:
Новые Extension APIs

Что именно нового было внедрено в браузер Google конкретно ни в одном из своих официальных блогов написать не соизволила, но подозреваю, что речь идёт именно об этом.
Обновление возможностей омнибокса

Омнибокс расширяетсяЧитать полностью »

1...10...171819
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js