forum.opennet.ru

"В приватном режиме Firefox 59 будет вырезаться содержательна..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

. "В приватном режиме Firefox 59 будет вырезаться содержательна..."	+/–
Сообщение от kai3341 (ok), 04-Фев-18, 01:52
> Да-да. Грамотно спроектированный сайт должен ломаться во избежание XSS 100 пудов, местные эксперты не поймут. Объясняю. Проще всего обработать на стороне сервера вообще любой запрос. Теперь ситуация: интернет-банкинг. Вы залогинились в личный кабинет, сайт выслал вашему браузеру cookies, и теперь при открытии этого сайта в новой вкладке вы оказываетесь залогиненными. Удобно. В другой вкладке вы открыли сайт с котиками. Тоже классно: котики -- движущая сила развития интернета: пользователь хочет, чтобы котики грузились быстрее. Пока всё прекрасно. Так или иначе, но на сайте с котиками оказался вредоносный код. Не исключено, что сам вредоносный код оказался даже не на самом сайте. Не суть, как он туда попал. Вредоносный код посылает на сайт вашего банка сперва GET-запрос с вашими cookies и получает данные о том, сколько денег на вашем счёта, и следом POST-запрос (возможно, несколько), переводящий деньги с вашего счёта на счёт некоего Василия Пупкина. Проблема в том, что в HTTP-заголовке Referrer запроса к сайту вашего банка во 2м случае вовсе не адрес сайта вашего банка.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

В приватном режиме Firefox 59 будет вырезаться содержательна..., opennews, 03-Фев-18, 21:53 [смотреть все]

Вообще-то сайты которые конфеденциальные данные через GET, а не POST передают са, Аноним, 03-Фев-18, 21:53 (1) //
- Каким образом конфеденциальные данные связаны с HTTP-заголовком Referrer , kai3341, 03-Фев-18, 22:57 (11) //
  - Очень просто через украденные базы мед заведений диагноз может быть связан с к, echo_donbasskih_podzemok, 03-Фев-18, 23:15 (14) //
    - Складывается впечатление, что вместо того, чтобы читать новость, вы ухватили клю, kai3341, 03-Фев-18, 23:30 (16)
      - Это бот, он учится и генерит фразы по ключевым словам , Вася Пупкин, 04-Фев-18, 14:14 (44)
        
        Откуда столько инфы о боте Не ваш ли бот случаем , ыпр, 04-Фев-18, 16:00 (50)
  - Действительно, какЗдравствуйте, Вася Пупкин Результаты ваших анализов готовы, вы, GG, 04-Фев-18, 01:47 (27) //
    - Вы почти правы Пользователя беспокоит, допустим, лурчанка Он нашёл в интернете , kai3341, 04-Фев-18, 02:43 (30)
      - Браузер по умолчанию - Links v2 14 Какие еще js и css , Аноним, 04-Фев-18, 14:14 (45)
        
        referrer то у linksa есть и картинки он умеет грузить с чужих сайтов-то Так что, DmA, 05-Фев-18, 09:22 (61)
        
        Можно как-то подшаманить Links для отключения этого функционала В Links вроде ж, Аноним, 06-Фев-18, 16:17 (68)
        
        Нету, зато в w3m есть штатный referer suppression, так что он на порядок лучше, Аноним, 07-Фев-18, 12:45 (69)
  - например друг выложил вам ссылку с котиками на странице в контакте и вы щёлкнули, DmA, 05-Фев-18, 06:52 (57)
  - Еще по рефереру можно узнать какую порнуху ты смотрел, Шумер, 05-Фев-18, 08:48 (60)
Вспоминается ситуация со Сбербанком и показом на внутренних страницах кода Yande, Аноним, 03-Фев-18, 21:56 (2)
А сейчас на 58 версии в about config это можно включить , Аноним, 03-Фев-18, 22:06 (3) //
- Давно можно ещё в чёрт знает какой лохматой версии , Аноним, 03-Фев-18, 22:24 (7)
- И в ранних версиях можно, с 52 https feeding cloud geek nz posts tweaking-ref, Аноним, 04-Фев-18, 04:55 (33)
- Думаю, со всеми этими настроками в эбаут конфиг я стану еще более заметным в ин, Анон2, 05-Фев-18, 08:39 (58)
- Сейчас можно поставить какой-нибудь блокировщик рекламы и какой был реферер у не, Внезапно, 05-Фев-18, 18:37 (64)
Уже не верю словам разработчика Firefox То зонды встраивают, то лепят мнимую за, QroxZ, 03-Фев-18, 22:07 (4) //
- И вроде хочется согласиться, но аналогов все-равно нет Есть какие-то фанатские , Vadu, 04-Фев-18, 01:46 (26) //
  - у вас уже никаких аддонов нет, кроме пары хромающих на все лапы неполноценных кл, 1.5 анонимуса, 04-Фев-18, 11:28 (39) //
    - waterfox, palemoon - всё ещё есть , Ivan_83, 04-Фев-18, 15:41 (48)
      - Icecat форк firefox отличный браузер , Игорь, 05-Фев-18, 01:11 (54)
  - Ты не поверишь, но выбрав фанатскую поделку, на которой сидит 1 5 анонимуса , я, Аноним, 05-Фев-18, 22:55 (65)
Использую Pure Url, Добрый любитель булок., 03-Фев-18, 22:12 (5) //
- И как Pure URL поможет удалить HTTP-заголовок Referrer , kai3341, 03-Фев-18, 22:55 (10)
А сайты в ответ юзай хром или иди на Посещать такие сайты - это себя не , Аноним, 03-Фев-18, 22:23 (6) //
- По моему даже опеннет требует реферер , Grammar, 06-Фев-18, 08:19 (66)
about confignetwork http sendRefererHeader 0одно из многих сразу после ус, Аноним, 03-Фев-18, 22:44 (8) //
- Многие сайты не будут корректно работать , QroxZ, 03-Фев-18, 23:15 (13) //
  - Зачем им это нужно , Аноним, 03-Фев-18, 23:46 (19) //
    - Издревле повелось отключать отдачу картинок, если в Referrer чужой домен чтобы , Аноним, 04-Фев-18, 13:14 (40)
  - на фиг такие сайты Но вот правда комментарии на опеннет не будут работать , DmA, 05-Фев-18, 09:24 (62)
- для полноты картины надо так network http referer XOriginPolicy , 2 network htt, 353, 03-Фев-18, 23:19 (15) //
  - Для полноты картины смыть краску растворителем, заново загрунтовать холст, нарис, Аноним, 04-Фев-18, 13:19 (41)
- Сайты ломаются Forbidden 403 CSRF verification failed Request aborted You are , Аноним, 03-Фев-18, 23:40 (17) //
  - Да-да Грамотно спроектированный сайт должен ломаться во избежание XSS, kai3341, 04-Фев-18, 01:34 (25) //
    - 100 пудов, местные эксперты не поймут Объясняю Проще всего обработать на сторон , kai3341, 04-Фев-18, 01:52 (28)
      - 1 чужой сайт без флеша и явы эти данные не получит А с флешом или явой - ссзб 2, Аноним, 04-Фев-18, 02:20 (29)
        
        1 Причём тут flash и java 2 Когда вредоносный код успешно выполняет GET-запрос, kai3341, 04-Фев-18, 02:50 (31)
        
        2 Он ничего не получает - same origin policy 1 с помощью них её можно было обо, Аноним, 04-Фев-18, 19:16 (52)
      - Я может в танке, но разве CSP HttpOnly эту проблему не решает Ведь кука идёт по, mumu, 04-Фев-18, 09:39 (38)
        
        Про механизм CSP не знал Спасибо, вникаю Кажется, понял CSP не позволит внешне, kai3341, 04-Фев-18, 14:03 (43)
      - Куки слать в письме не удобно, удобно слать уникальный токен по времени входа Па, Аноним, 04-Фев-18, 18:53 (51)
      - Для Инет-банкинга надо пользоваться отдельным профилем , Аноним, 05-Фев-18, 03:12 (56)
      - Таки что мешает злобным коитам менять реферел в запросе Браузер же может Да и , Анон2, 05-Фев-18, 08:45 (59)
  - network http referer XOriginPolicy 1 вместо предложенного выше будет вполне прие, Аноним, 04-Фев-18, 13:26 (42)
- Почему это сразу в мозилле не сделали Эта опция что-то ломает или есть другие п, Аноним, 03-Фев-18, 23:45 (18) //
  - Ломает Выше ответили , Аноним, 03-Фев-18, 23:55 (20) //
    - Можно сделать сайт не требующий эту телеметрию , Аноним, 04-Фев-18, 00:08 (21)
      - Это не только телеметрия Тоже читаем CORS и XSS для самых маленьких С карти, kai3341, 04-Фев-18, 01:25 (24)
        
        А ты, я смотрю, недавно прочитал и полон впечатлений , Аноним, 04-Фев-18, 14:27 (46)
        я даже погуглил в надежде, лол , имя, 05-Фев-18, 03:08 (55)
  - Ломает например возможность комментарить на этом сайте, DmA, 05-Фев-18, 09:26 (63)
Я давно что-то такое уже включал Дак тогда у меня opennet ломался, при отправке, th3m3, 03-Фев-18, 22:50 (9) //
- Читайте CORS и XSS для самых маленьких , kai3341, 03-Фев-18, 22:58 (12)
Privoxy наше все Без него в инет вообще не хожу , Аноним, 04-Фев-18, 00:14 (22) //
- И как Privoxy поможет удалить HTTP-заголовок Referrer , kai3341, 04-Фев-18, 01:19 (23)
Всегда перехожу на другие сайты с новых вкладок И вам также советую поступать , Аноним, 04-Фев-18, 05:51 (34) //
- Первоочерёдная проблема рефереров не в переходах на другие страницы, а в загрузк, Аноним, 04-Фев-18, 06:34 (35) //
  - А ещё твиттеру и bootstapcdn , Аноним, 04-Фев-18, 07:01 (36)
  - До Сноудена я ещё один вывел аргумент Когда человек говорит - Зачем мне скрыв, Аноним, 04-Фев-18, 07:01 (37)
А как в Pale Moon обстоят дела с вырезанием параметров заголовков HTTP Referer , Аноним, 04-Фев-18, 14:45 (47) //
- ставишь refer control и настраиваешь как тебе надо , Ivan_83, 04-Фев-18, 15:44 (49)
- Palemoon Commander Security Privacy, и крути, как хочешь Или традиционно - , Аноним, 04-Фев-18, 23:33 (53) //
  - Это проприетарное дополнение https www palemoon org commander shtmlThis add-o, Аноним, 06-Фев-18, 16:11 (67)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру