[Arrest]

Bren74
XSS - Cross Site Scripting. http://hackzona.ru/hz.php?name=News&...ticle&sid=5005 - подробнее.
Это от вас не зависит => вам ничего не будет. Разве что cookies могут скрасть...

[Bren74]

Цитата:

XSS - Cross Site Scripting. http://hackzona.ru/hz.php?name=News...rticle&sid=5005 - подробнее. Это от вас не зависит => вам ничего не будет. Разве что cookies могут скрасть...

Очень интересно...нельзя ли поподробнее?

Получается,тем сайтом лучше не пользоваться?

И какова природа того предупреждения?Браузер или что-то ещё?

[Greyman]

Это комплекс браузера и сайта. В некоторых случаях браузеры могут несрабатывать на такие штуки, ну а так это сайт должен у себя настраивать защиту от подобных атак. Это довольно распространенное щас в инете явление, т. к. самим сайтам такие атаки не страшны, а только пользователям, к-ые на них ходят (наш, кста, тоже не исключение), поэтому часто и не особо парятся с этим. ну а подобные атаки могут быть очень опасны, т. к. в некоторых случаях они не тока способны красть конфиденциальную информацию (и далеко не тока кукисы, но в т. ч. и документы с компа), но и приводить к вредоносным действиям.

[Di373R]

Bren74 отключив в браузере выполнение java апплетов (скриптов) и все будет ОК. Если у тебя в качестве браузера Огненный лис, то поставь плагин NoScript настрой его так чтобы он запрещал использование java скриптов на незнакомых сайтах.

Цитата:

т. к. самим сайтам такие атаки не страшны

Greyman я думаю вы немного ошибаетесь - данная атака как раз и направлена прежде всего против сайта, а вот осуществляется она уже через конкретного пользователя.

[Greyman]

Di373R

Цитата:

я думаю вы немного ошибаетесь - данная атака как раз и направлена прежде всего против сайта, а вот осуществляется она уже через конкретного пользователя.

Возможно ты и прав..., а можно поконкретнее об этом, ссылочки там разные? А то вот тут кто-то видно тоже ошибается...

Цитата Wiki:

Специфика подобных атак заключается в том, что вместо непосредственной атаки сервера, они используют уязвимый сервер в качестве средства атаки на клиента.

http://ru.wikipedia.org/wiki/XSS

Вот еще можно здесь кратенько смысл почитать - Cross Site Scripting FAQ


Di373R

Цитата:

астрой его так чтобы он запрещал использование java скриптов на незнакомых сайтах.

Дык в том то и суть атаки, что как раз это то никак и не помогает, т. к. скрип-то срабатывакет в зоне доверенного сайта, а вот внедряется с произвольного.

[Bren74]

Дык...и что делать?

Неужели нет никакого "лекарства"?

[Greyman]

Ну не панацеей конечно, но все же, является ограничение браузером длинны урла. Валидный урл очень редко когда бывает длиннее 30 символов. Есть подобные плугины к MS IE и браузерам на его движке, так же вроде когда-то слышал про такую возможность у кого-то еще. Конечно иногда бывают и длинные ссылки (например на файлы с описательными названиями и т. п.), но для таких случаев подобный хинт можно отключать, либо возможно у кого-то есть возможность его динамического отключения по клавише (напрмер, чтобы таки перейти по длинной ссылке надо кликнуть по ней с нажатой определенной клавишей). Сам практическим вопросом пока не задавался, т. к. я просто ссылки с статусной строке сморю как правило, хотя конечно это тоже далеко не панацея...