Позорная уязвимость РОИ. Все данные сливаются в Нидерланды?

Общие вопросы о roi.ru и системе интернет-демократии
Правила форума
1) Администрация портала oroi.ru обязуется сохранять политический нейтралитет во всём.
2) Запрещено нарушать законодательство РФ.
3) Пожалуйста, будьте вежливы. На форуме принято "обращение на Вы".

Позорная уязвимость РОИ. Все данные сливаются в Нидерланды?

Сообщение Дядя Хехехе » 13 апр 2015, 11:53

Что на стратегическом объекте делают скрипты иностранных организаций? Зачем на РОИ яндекс метрика, яндекс кары, яндекс орфография? На серьезных сайтах типа президент.рф такого безобразия нет.

Что могут такие скрипы? Как минимум, передавать конфиденциальную информацию неограниченному кругу лиц. Как максимум, полостью изменить всю систему: голосовать за пользователей, накручивать инициативы, подменять отображаемые данные, распространять вирусы, и так далее, и так далее.

Даже единичный запуск стороннего скрипта компромитирует весь сайт. Даже при единичном запуске скрипт может внедрится в ПО и получить контроль над всей системой.

Кто такое яндекс?
Yandex N.V.
Registered Office in Amsterdam
Address: Schiphol Boulevard 165
1118 BG Schiphol
The Netherlands
tel.: +31 (0) 20 206 6970
Дядя Хехехе
 


Re: Позорная уязвимость РОИ. Все данные сливаются в Нидерлан

Сообщение Alfred.Plohoy » 13 апр 2015, 17:02

На самом деле встраиваемые javascript скрипты не могут никак повлиять на сайт или получить какую-либо информацию без разрешения самого сайта. Это происходит благодаря защитным средствам интернет-браузера.

Максимум что они могут - показать вам подставную-страничку, адрес у которой не будет совпадать с адресом сайта. Но тут надо быть редкостным дураком, чтобы попасться на такой обман.
Alfred.Plohoy
Активный участник форума
 
Сообщения: 3989
Зарегистрирован: 08 авг 2014, 19:57

Re: Позорная уязвимость РОИ. Все данные сливаются в Нидерлан

Сообщение Dinar.Kurbanov » 06 май 2015, 02:18

показать вам подставную-страничку, адрес у которой не будет совпадать с адресом сайта

яваскрипт может может подменять весь текст на странице! причем не обязательно на другую страницу которая есть в интернете, а просто на что угодно, как в этом скрипте запрограммировано. для того чтобы проверить что показывает оригинальная страница без этого яваскрипта, нужно или исходный код посмотреть, или посмотреить отключив яваскрипты.
Dinar.Kurbanov
Активный участник форума
 
Сообщения: 66
Зарегистрирован: 24 янв 2014, 17:35

Re: Позорная уязвимость РОИ. Все данные сливаются в Нидерлан

Сообщение Гость » 06 май 2015, 11:52

Dinar.Kurbanov пишет:яваскрипт может может подменять весь текст на странице! причем не обязательно на другую страницу которая есть в интернете, а просто на что угодно, как в этом скрипте запрограммировано. для того чтобы проверить что показывает оригинальная страница без этого яваскрипта, нужно или исходный код посмотреть, или посмотреить отключив яваскрипты.

То есть эта нидерландская компания, скрипт которой встроен в РОИ, если захочет может показывать пользователям РОИ вместо одной инициативы другую, а голоса при этом отправлять за первую инициативу? То есть мы можем голосовать за одно, а из-за подмены, голоса будут уходить совсем за другое? Офигеть! Так в скором времени лидером станет инициатива за ужесточение европейских санкций против РФ.
Гость
 

Re: Позорная уязвимость РОИ. Все данные сливаются в Нидерлан

Сообщение Alfred.Plohoy » 06 май 2015, 19:19

Dinar.Kurbanov пишет:
показать вам подставную-страничку, адрес у которой не будет совпадать с адресом сайта

яваскрипт может может подменять весь текст на странице! причем не обязательно на другую страницу которая есть в интернете, а просто на что угодно, как в этом скрипте запрограммировано. для того чтобы проверить что показывает оригинальная страница без этого яваскрипта, нужно или исходный код посмотреть, или посмотреить отключив яваскрипты.


Можно пример?
Alfred.Plohoy
Активный участник форума
 
Сообщения: 3989
Зарегистрирован: 08 авг 2014, 19:57


Re: Позорная уязвимость РОИ. Все данные сливаются в Нидерлан

Сообщение admin » 07 май 2015, 00:38

Dinar.Kurbanov пишет:http://qdb.tmf.org.ru/test.html

Действительно подменяется вся страница, включая заголовок, незаметно для пользователя.
Код: Выделить всё
<title>hello!</title>
<script src="http://xn--90aexm0e.xn--p1ai/test.js"></script>
<body><p>hello!</p></body>

test.js
Код: Выделить всё
window.onload=
   function(){
      document.title="Здравствуйте";
      test=document.getElementsByTagName('p');
      test[0].firstChild.nodeValue='Здравствуйте';
   }
;
Аватара пользователя
admin
Администратор
 
Сообщения: 1688
Зарегистрирован: 14 сен 2012, 10:50

Re: Позорная уязвимость РОИ. Все данные сливаются в Нидерлан

Сообщение Alfred.Plohoy » 08 май 2015, 19:43

Тем не менее яндекс - известная и старая компания с хорошей репутацией.
И пока там у них ничего не поменяется, нет повода говорить слово "уязвимость".
Вот если бы вы или кто-угодно мог что-то подменить на странице, тогда другое дело.

РОИ - это не военный объект во всяком случае. А с помощью adblocker вы вообще можете заблочить яндекс.скрипты на всех сайтах.
Alfred.Plohoy
Активный участник форума
 
Сообщения: 3989
Зарегистрирован: 08 авг 2014, 19:57


Вернуться в Главный форум

Кто сейчас на конференции

Сейчас этот форум просматривают: admin, Flaer и гости: 1

cron
SPRINTHOST.RU: быстрый и надежный хостинг!