Комментарии 84
СУПЕР!!! Спасибо)
простейший xss в 2022 году на сайте про "айтишечку"... какое позорище
я так понимаю, никто это не использовал для шутеек только потому, что никому в голову не могло прийти, что такое возможно
Я бы даже сказал, что на Хабре темная тема даже важней, потому что многие его читают перед сном, а со светлой темой это некомфортно.
Возможно, с тёмной проблема в целевых масштабах. Возможно, в отдельные части экрана / некоторые страницы проще добавить тёмную, чем всюду сразу.
Что-то подсказывает, что до сих пор не поднимался вопрос типа "а вам чего важнее по-быстрому затемнить, если не сразу всё, а частями?"
Поставить плагин для браузера Dark Reader или любой другой или тыкнуть в браузере соответствующую настройку - намного быстрее, чем годами ждать, когда кто-то что-то сделает.
В который раз приходится объяснять, что Dark Reader невозможно использовать в мобильных ОС, где темная тема как раз более актуальна, потому что на них многие читают хабр перед сном.
Really?
Спойлер.
iOS safari, подскажите куда копать?
Up: нашёл ниже ссылку на платный плагин.
Возможно, в хроме работает, а в яндекс поставить плагины низя
А вы пробовали?
я про мобильный, на компе понятно что работает
Яндекс браузером не пользуюсь, но вроде он позволяет ставить плагины для хрома.
https://yanbrowser.ru/faq/black-theme-for-yandex-browser-on-android#i-2
В смысле невозможно? В Firefox прекрасно работает. В Safari тоже должно быть что-то подобное.
Что например? Firefox не использую, и все равно это полумера.
Ну да, вроде что-то есть, причем платный: https://apps.apple.com/us/app/dark-reader-for-safari/id1438243180?platform=ipad
Не знаю что у вас за браузер, но в хроме есть настройка chrome://flags/#enable-force-dark
В Safari, вижу что уже нашли. Оно платное, да. Но тут уже к Apple претензии - аккаунт разработчика стоимостью $100 в год надо отбивать, как минимум.
В опере мобильной прекрасно всё работает. Ещё и блокировка рекламы есть
Можно добиться тёмной версии через URL:
javascript:document.documentElement.style.filter+='invert(1)hue-rotate(180deg)';void(0);
Немного неудобно применять на каждой странице, можно держать в закладках. Зато не нужны никакие расширения, как и нужна поддержка расширений вообще.
ff для андроид
Dark Reader, безусловно, мастхэв. Для юзеров с катарактой - это вообще буквально обязательное расширение в Firefox'е. Хром вроде как с некоторых пор научился без расширений делать тёмную тему для любых сайтов (chrome://flags -> Force dark mode или как-то так), но с даркридером гораздо удобнее - иногда надо отключать и т.п.
Проблема только в том, что Dark Reader, зараза, даже на мощном компе заметно подтормаживает браузер на "тяжёлых" сайтах.
в Опере есть встроенная тёмная тема для всех сайтов
А у меня с возрастом от темной темы глаза почему-то стали быстрее уставать, хотя раньше в DOSе и NC таких проблем не было.
Потому что тёмная тема и должна напрягать зрение в результате чего они и устают ибо чёрный цвет не отражает свет глаза сильнее напрягаются чем с белой темой, потому детям родители всегда и говорят что не читай в темноте - глаза испортишь.
И потом — все люди разные. Меня вот, к примеру, белая тема попросту слепит. А с тёмной темой я фактически живу: она у меня везде — на рабочем столе, во всех IDE, браузерах, сайтах и т.п.
Она всех будет слепить если освещение недостаточно, но при этом и тёмная будет тоже, но не так сильно, а так как всё познаётся в сравнении то это будет не заметно. Когда этот движ с тёмной темой только начинался я тоже повёлся на это и тёмную ставил думая что глаза от белой устают, а потом мне окулист сказал что при работе за компом надо очень сильное освещение чтобы зрение не садилось, я 60 Ватт лампочку вкрутил и глаза больше не устают. Но вообще это право каждого. я лишь делюсь своим опытом.
Теперь когда тёмную тему открываю так сразу так сложно что-то разглядеть становится после белой.
а extension запилить? его же cделать как Get started...
кою более чем обоснованно предпочитают не менее половины разработчиков и опытных юзеров
А в чем обоснование?
Ну прикольно. Разумное же обоснование (для многих)
А если серьезно конечно - то при чтении в темноте - светлый фон сильно бьет по глазам. Во всех остальных случаях использование темной темы как минимум вкусовщина, как максимум - уменьшенный контраст и еще бОльший вред глазам особенно при мелком шрифте.
Не бывает систем защищенных на все 100% где разработчики могут допустить даже простейшую ошибку, но в этом нет ничего плохого, главное что разрабы пошли на контакт и оперативно пофиксили уязвимость
Оперативное исправление это хорошо, согласен. Прикол в том, что среди небезопасностей сайта есть 3 самых общеизвестных поинта: xss, csrf и sql-инъекции. Первый и второй уже были, и я, черт возьми, теперь не удивлюсь, если и третий "ждет своего вдумчивого исследователя"
на сайте про "айтишечку"
Подобные проекты - они не только "про айтишечку" или про что-либо подобное, они еще и про деньги, которые хочется, наверняка, тратить рачительно. Иногда это сказывается на результате.
Но. То что habr "про айтишечку" свою роль, определенно, играет. Вот попался пользователь с определенным мировоззрением и соответствующим набором компетенций, который на чистом энтузиазме нашел проблему и помог ее решить. Вероятность столь благополучного исхода для ресурса с иным типом пользователей (он-лайн казино, банк, да что угодно) тоже имеется, но представляется ощутимо меньшей, нежели в данном сообществе.
Зачем ломать стул, на котором сидишь?
Думаю, это связано с кардинальными изменениями чего-то и необдуманными выкатом в широкую паблику слишком рано.
Хабр ломали прилично количество раз до этого.
наш сэнсэй по программированию в колледже 25 лет назад говорил: "чем сложнее софт, тем больше в нем ошибок".
del
CSP? Не, не слышали...
PS: на всякий случай плюсец поставил, а то мало ли ;)
Максим, от себя и от коллег выражаю благодарность за то, что поделились информацией об этой уязвимости — пожалуй, это одна из самых существенных из найденных за всю историю Хабра, хотя, как и написали выше, "простая" :)
Возможность вставки js находили и раньше, правда, почти 14 лет назад (feeling so old): https://habr.com/ru/post/26666/
А что, если уязвимость еще работает, и Boomburum не сам написал этот комментарий?)
Была тут статья про перфекционизм среди разработчиков, так вот - не бывает неважных уязвимостей, иногда такие вот маленькие шероховатости портят весь идеальный проект, так что автор молодец, что поделился
Я так понял, карму уже можно вам не повышать :D ?
Если нашли уязвимость — сообщите разработчикам Хабра (можно через Boomburum), вознаграждение гарантируется.
У Хабра появилась программа bug bounty?
На моей памяти (а я работаю в Хабре с 2016) всегда поощряли пользователей, нашедших уязвимости, которые могут угрожать безопасности других пользователей, но сообщивших о них, вместо того, чтобы их использовать.
Лично я вижу следующие проблемы в введении официальной bug bounty программы:
у пользователей и у работников компании могут разниться представления о том, что является багом (например, я не считаю багами отсутствие на сайте функциональности к которой пользователи привыкли в других системах, как в относительно недавней истории) и пользователи могут воспринимать этот как нежелание работников компании платить за проделанную ими работу;
пользователи могут сталкиваться с проблемами из-за того, что используют функциональность системы вопреки предусмотренной разработчиками логике (например, если в поиске пагинация только на 50 страниц, пользователь подставил в URL адрес, который должен бы быть у 51-й страницы, но вместо 51-й страницы получил ошибку), сообщившие о таких "ошибках" пользователи могут воспринимать этот как нежелание работников компании платить за проделанную ими работу;
недоработок достаточно много, они зафиксированы в виде задач в жире и прекрасно известны, просто ресурсы распределяются на более злободневные задачи и эти недоработки могут висеть годами, было бы странно платить за их "обнаружение", но пользователи, не имея доступа к корпоративной жире, могут воспринимать этот как нежелание работников компании платить за проделанную ими работу;
несколько пользователей могут сообщить об одной проблеме с небольшим интервалом времени (представьте, пользователь А сообщил о проблеме, ее взяли в работу и тут об этой же проблеме сообщил пользователь Б, после чего проблему пофиксили, пользователь Б будет считать, что компания пофиксила проблему на основании его обращения, но не хочет выплачивать ему вознаграждение).
Думаю, что, за годы существования bug bounty программ, для большинства перечисленных мной проблем придумали какие-то решения, но интуиция подсказывает, что решения эти ресурсоемкие и более логично потратить эти ресурсы на устранение проблем, которые уже давно известны.
Верно. Я написал про недостатки новой версии. Получил много плюсов, но
Если нашли уязвимость — сообщите разработчикам Хабра (можно через Boomburum), вознаграждение гарантируется.
Вознаграждение не получил.
PS В деньгах не нуждаюсь, но принципиальный интерес.
Так плюсы и были вознаграждением )
В деньгах не нуждаюсь
Думал, что только Прохорову деньги не нужны («...опять деньги приехали, куда их девать?» Квартет И (С)).
Оказывается, таких много есть у нас ))
Не надо путать слова "нужно" и "нуждаться".
Перефразируя слова известной песни, школьник или студент мог написать:
Хабр, Хабр, что я буду делать? Ку.
Хабр, Хабр, как я буду жить? Ыыыыы!
Ы-ку, ы-ку, ы-ку, ы-ку, ы-ку, ы-ку, ыыыы.
У меня нет тёплого пальтишки,
У меня нет тёплого белья.
Дай мне за статью хоть немного денежек!
А деньги нужны всем, и тем кто не особо остро нуждается :))
(Есть у меня пальтишко, может где и порвано, но пока не сильно замерзаю).
Я думаю, проблема в термине "bug bounty". Просто не очень удачное название, слишком общее и сходу может показаться, что речь идет о любой ошибке в принципе.
На практике же, bug bounty, обычно, значит именно проблемы с безопасностью.
И проблем вида "баг или не баг" там не возникает.
Удалось получить доступ к чужим данным - баг!
Остается правда пространство для споров насколько он серьезный (от этого зависит сумма выплаты), но это уже история другая (да и там есть публичные критерии)
Кстати, есть целые сервисы, для организации простой и понятной bug bounty программы.
p.s. мы пользуемся bugcrowd
например, я не считаю багами отсутствие на сайте функциональности к которой пользователи привыкли в других системах, как в относительно недавней истории
специалист техподдержки «Хабра»
@pragmatikхах, это ты что ли доказывал мне, что сочетание клавиш cmd+click и не обязано работать в браузере? Понятненько.
недоработки могут висеть годами
Тогда у вас проблемы если задачи годами висят
Это же насколько сильно вам захотелось найти уязвимости в хабре))
Карма под вопросом)))
А почему Хабр так криво отображает слова с ударе́ниями?
Так, только зашел, а лайк уже стоит
Если нашли уязвимость — сообщите разработчикам Хабра (можно через Boomburum), вознаграждение гарантируется.
Просто любопытно: автор этой статьи получил вознаграждение? ;)
В статьи описана уязвимость, после которой рука сама потянулась повышать карму автору :)
Благодаря тебе я исправил точно такой же косяк у нас в проекте, огромное спасибо!
Посмотрите на сайт ДТФ. Я не эксперт, но как же там удобно сделано. Комментарии появляются в реальном времени, оценки тоже, справа лента последних комментариев, когда кто-то ставит тебе минус или плюс, ты видишь это в уведомлении, и при наведении на число можешь увидеть всех, кто и как оценил комментарий. Нет этой херни с тупой кармой - пиши и оценивай, как хочешь.
Нет этой херни с тупой кармой — пиши и оценивай, как хочешь.Анонимная карма это безусловное благо.
Возможно вопрос не очень тактичный, но все же спрошу. Сколько платят за обнаруженную уязвимость?
Ребят, а что за синтаксис с двоеточием?javascript:s=window.top.document.createElement('script');
Это создание алиаса на переменную? Почему сразу не написать через s? Вот так:
s=window.top.document.createElement('script');
Пока всех не раскидало по удаленкам, я опробовал другой способ "взломать Хабр". Принес к ним в офис 5 литров Paulaner, которые были выпиты хабракомандой с бургерами от Фарша ))
Уязвимость стыдная, а автор - молодец.
Этот баг почти наверняка по причине сжатых сроков. Даже если разработчик и не обладал нужными знаниями и опытом - значит не было времени у того, кто обладает.
Либо разраб. предпологал, что не очень правильно, но не было времени поправить. Или желания тратить на это свое время.
{
"type": "formula",
"attrs": {
"source": "Смотреть",
"src": "javascript:",
"inserted": false,
"width": 131,
"height": 17
}
}
Как я Хабр взломал