|
>Форум Mozilla Россия http://forum.mozilla-russia.org/index.php >О проекте http://forum.mozilla-russia.org/viewforum.php?id=23 >ссылки в сообщениях 2 http://forum.mozilla-russia.org/viewtopic.php?id=15515 |
| Dark-Demon > 13-02-2007 13:27:39 |
1. что за мания закрывать темы? руки чешутся? или луна не в той фазе? |
| lakostis > 13-02-2007 14:35:30 |
Dark-Demon
а вот грубить не надо.
легко. Например, вот так. Если вы хотите, чтобы этот форум кто-то "подставил" подобным образом, то это не значит, что этого хотят остальные пользователи и администраторы с модераторами. |
| Dark-Demon > 13-02-2007 15:22:58 |
и каким образом отсутствие замены текста на Выделить код Код:[url=http://bugtraq.ru/library/www/xssanatomy.html]http://bugtraq.ru/library/www/xssanatomy.html[/url] спасает от XSS??? |
| lakostis > 13-02-2007 17:49:32 |
Dark-Demon |
| Dark-Demon > 13-02-2007 19:29:03 |
а вы видите разницу в плане безопасности между следующими двумя кодами? Выделить код Код:[url=http://bugtraq.ru/library/www/xssanatomy.html]http://bugtraq.ru/library/www/xssanatomy.html[/url] это типа небезопасно? а это типа безопасно? |
| lakostis > 15-02-2007 00:40:07 |
Dark-Demon
в первом примере показана clickable ссылка, во втором ссылка обычная. Clickable ссылки более опасны, т.к. в тексте href можно написать одно, а показать другое. Или я что-то не понял в вашем вопросе? |
| INFOMAN > 15-02-2007 19:56:19 |
| Anton > 15-02-2007 20:21:30 |
Это, скорее о фишинге речь, а не о xss. Запрещение преобразования plain-text ссылок может быть обосновано лишь возможностью "обмануть" post-парсер при таком преобразовании, в отличие от забибикоденных ссылок. Т. е., в случае, если [url]...[/url] гарантированно отсекает потенциально опасные url, а plain-text преобразование не может. /имхо |
| igorsub > 15-02-2007 20:22:59 |
Ну здесь уже все зависит от внимательности пользователя: посмотрит он на строку статуса или нет. |