MtW>>> Сразу скажу ещё для полноты картины, что не только Hotdoged, MtW>>> но и собственно лушниковское wfido отображает HTML entities MtW>>> в заголовке сообщения ── например, вот на этой странице:
VF>> WebFido Валентина Кузнецова, кстати, тоже их отобразило.
MtW> Это презабавно. Куча народу думает, что для преобразования в HTML MtW> достаточно поместить теги в текст, либо ничегошеньки в нём не экранируя, MtW> либо экранируя не всё.
MtW> Если они не только HTML entities, но и угловые скобки оставляют без MtW> внимания, то это не окончится добром для них.
К сожалению, тест показал именно то, что в wfido действительно вообще никак не экранируются и угловые скобки также.
В отличие от неэкранированных HTML entities, неэкранированные угловые скобки представляют собою серьёзную уязвимость, позволяющую вызвать и исполнить любой JavaScript, то есть перехватить управление браузером.
В частности, можно сделать так (и сделал), что на сайте FTN.SU нельзя будет и зайти на http://ftn.su/a/RU.FIDONET.TODAY/ без того, чтобы оказаться тотчас перенаправленным на совсем другой сайт.
(А вот в WebFido Валентина Кузнецова эта уязвимость отсутствует, например.)
* изначально написано в эхоконференцию Ru.Fidonet.Today * также было отослано в эхоконференцию Ru.FTN.Develop
Рекомендую устранить эту уязвимость как можно скорее.
Пользователям Hotdoged также рекомендую проверить (на предыдущем письме моём), не срабатывает ли у них JavaScript в заголовке.
Фидонет будет великим и гипертекстовым! [Ru.Mozilla] http://Mithgol.Ru/ Mithgol the Webmaster. [Братство Нод] [Team А я меняю subj]
... верное средство завоевать любовь других - подарить им свою любовь. (Руссо) --- Now playing: http://hentaichan.ru/games/ * Origin: watashi wa sekai-wo kaeru! [Shoujo Kakumei Utena] (2:50/88)
