Представитель компании Opera Software, Илья Шпаньков, прояснил ситуацию, а также передал нам подробное объяснение происходящего, полученное от специалистов Оперы.
Вот предложенная им формулировка насчет уязвимости браузера Opera:
Илья Шпаньков писал(а):
Как выяснилось, в Opera уязвимости нет и проблема не является результатом ошибок в браузере, но совместно с разработчиками Opera мы нашли решение, как избежать подобных проблем в дальнейшем, и это решение будет применено как в браузере (в ожидаемой скоро новой версии Opera 12.1), так и на Rutracker.org
и подробное описание сути проблемы от специалистов компании Opera Software:
Специалисты компании Opera Software писал(а):
a) Веб-сайт полагается на недокументированную обработку тега <img>. Ни в одной спецификации не говорится, что браузер должен делать в подобном случае. Владельцы веб-сайта не проводят контроль ввода данных от недоверенных пользователей. Они ожидают, что браузер применит некоторое волшебство sandboxing, чтобы препятствовать выполнению неких нестандартных действий контентом, опубликованным недоверенными пользователями. Это - ошибка владельцев веб-сайта. Они не должны полагаться на браузер, ожидая от него применения некоей "песочницы". Они обязаны сами должным образом санировать контент от недоверенных пользователей.
b) У нас в Opera принято помогать сайтам, даже когда они делают что-то неправильно. Поэтому в Opera 12.10 мы отключим следование шорткатам в контенте, загружаемом внутри тега <img>. Это именно то, что согласно ожиданиям веб-сайта должен делать браузер, хотя на самом деле такое поведение не описывается ни одним стандартом. Таким образом, мы сделаем то, что они хотят, очень скоро.
c) Фактически, в данном случае нет никакой уязвимости. Даже в случае визуального отсутствия изменений в окне браузера при редиректе, в адресной строке в любом случае будет отображаться фактический адрес (а также наша панель безопасности, встроенная в адресную строку, может предупреждать об опасности). Пользователь может быть обманут, если не обращает внимания на адресную строку (это стандартное условие для любой фишинговой атаки), но таким образом он лишает нас возможности защитить его обычным способом используя антифишинговый фильтр. Это - единственный способ защитить от фишинга. Пользователи, которые не смотрят в адресную строку, всегда будут обманываться мошенниками.
Теперь, собрав воедино все комментарии представителей Оперы, можно получить полное и исчерпывающее объяснение того, что происходит. Мы только добавим некоторые уточнения, которые касаются именно нашей конкретной ситуации и постараемся максимально точно цитировать специалистов Оперы, чтобы не исказить ни смысла, ни деталей формулировок.
Таким образом получается что: •В Opera уязвимости нет, а есть лишь некритичный баг, который скоро будет исправлен
• Сайт полагается на недокументированную обработку тега <img>, которой нет ни в одной спецификации. Из-за этого браузер не знает, что можно сделать в подобном случае
•Администрация сайта не делает то, что она обязана делать для соблюдения элементарных требований безопасности и не сканирует все публикуемые недоверенными пользователями картинки, которые они могут размещать в сообщениях или подписях. Здесь следует на всякий случай уточнить, что картинки можно разместить только используя тег [img] и только прямыми ссылками типа
Код:
HTML код:
[img]http://.../картинка.(jpg|jpeg|gif|png)[/img]
•Опера поступает правильно, когда следует шорткатам в контенте, загружаемом внутри тега <img>. Сайты же наоборот, поступают неправильно и ожидают от Оперы поведения, которое не описывается ни одним стандартом. Однако в Opera принято помогать сайтам, и даже несмотря на то, что сайт поступает неправильно, они все таки отключат следование шорткатам в контенте, загружаемом внутри тега <img>(Это заслуживает отдельного упоминания и благодарностей разработчикам браузера Опера. Несмотря на то, что сайт поступает неправильно, они всё же проявят заботу в первую очередь о сайте! Они не будут настаивать на том, что браузер в данной ситуации, которая не описана ни в одном стандарте, должен вести себя именно так, а именно, автоматически и без вопросов переадресовывать пользователя на любой, указанный в заголовке сайт. Спасибо!)
•По мнению представителей компании Opera, в данном случае нет никакой уязвимости. Пользователь всегда должен быть готов к абсолютно незаметной переадресации на любой сайт, даже если он не предпринимал для этого никаких действий. Точнее, если он не предпринимал вообще никаких действий. Т.е. обычная страница сайта (например, такая: Проверка переадресации браузера Opera 12.02 обычной картинкой на любой сайт), содержащая обычную картинку с обычным bbcode
Код:
и обычным html на выходе
Код:
<img alt="pic" class="postImg" src="http://.........." />
может абсолютно незаметно перенаправлять пользователя куда угодно, в том числе, на любой фишинговый сайт. В случае, если мошенники не сделают переадресацию одноразовой, то у пользователя не будет никаких других шансов попасть на настоящую страницу, кроме как воспользоваться другим браузером
•Хотя это и правильно, разработчики браузера Опера, посовещавшись с владельцами сайтов и идя навстречу их просьбам, всё же отключат это в версии 12.1
Но всё-таки реальная причина в том, что сайт полагается на недокументированную обработку тега <img>, которой нет ни в одной спецификации. Из-за этого браузер не знает, что можно сделать в подобном случае. Но ведь нужно же что-то делать, а не сидеть сложа руки и ждать, пока другие браузеры сделают это за тебя, тем более что в данном случае они никуда не перенаправляют, и Опере приходится делать это одной за всех остальных. И она с этим вполне успешно справляется, несмотря на то, что переадресация срабатывает не всегда. Нам неизвестно, от чего это зависит. Возможно, это тоже какой-то некритичный баг, который уже нет смысла искать и исправлять.
Так что, спасибо, Опера! Ты единственная поступаешь правильно в такой сложной ситуации, которая никогда не была и не будет описана ни в одном стандарте!
•Несмотря на то, что в адресной строке отображался фактический адрес мошенников, визуальные изменения в окне браузера отсутствовали и панель безопасности, встроенная в адресную строку, хотя и могла предупредить об опасности, но по каким-то причинам этого не делала
Скорей всего потому, что в данном случае опасность некритична и нет смысла лишний раз тревожить пользователя или же мешать каким-то мелким, некритичным мошенникам
•Итак, пользователь перенаправлялся на фишинговый сайт с помощью обычной картинки. Находясь на нем, он не смотрел на адресную строку и из-за этого не срабатывал антифишинговый фильтр. Т.е. пользователь САМ ЖЕ и лишил Оперу единственного способа защитить его от фишинга, и в дальнейшем у него так же не будет никаких шансов не быть обманутым
Что должен был делать антифишинговый фильтр при взгляде на строку, не очень понятно. Но не будем скептиками! Будем считать, что в любом случае он сделал всё, что мог и спас хотя бы сёмгу из кладовки.
Илья Шпаньков писал:
Кстати, баг уже исправлен начиная с тестовой сборки Opera 12.1 build 1639
IT » 200 миллионов мобильных пользователей выбирают Opera
