Только что посещал citkit.ru

Почти сразу выскакивает табличка (с жёлтым предупреждающим треугольничком) и надписью на чистейшем русском:"Похоже,и здесь XCC.Мои поздравления!"

Раньше ничего подобного за этим сайтом не наблюдалось.

Собственно,вопрос.Что это и что мне за это будет? :o :tease:

Bren74
XSS - Cross Site Scripting. http://hackzona.ru/hz.php?name=News&file=article&sid=5005 - подробнее.
Это от вас не зависит => вам ничего не будет. Разве что cookies могут скрасть...

XSS - Cross Site Scripting. http://hackzona.ru/hz.php?name=News...rticle&sid=5005 - подробнее.
Это от вас не зависит => вам ничего не будет. Разве что cookies могут скрасть...

Очень интересно:(...нельзя ли поподробнее?

Получается,тем сайтом лучше не пользоваться?

И какова природа того предупреждения?Браузер или что-то ещё?

Это комплекс браузера и сайта. В некоторых случаях браузеры могут несрабатывать на такие штуки, ну а так это сайт должен у себя настраивать защиту от подобных атак. Это довольно распространенное щас в инете явление, т. к. самим сайтам такие атаки не страшны, а только пользователям, к-ые на них ходят (наш, кста, тоже не исключение), поэтому часто и не особо парятся с этим. ну а подобные атаки могут быть очень опасны, т. к. в некоторых случаях они не тока способны красть конфиденциальную информацию (и далеко не тока кукисы, но в т. ч. и документы с компа), но и приводить к вредоносным действиям.

Bren74 отключив в браузере выполнение java апплетов (скриптов) и все будет ОК. Если у тебя в качестве браузера Огненный лис, то поставь плагин NoScript настрой его так чтобы он запрещал использование java скриптов на незнакомых сайтах.

т. к. самим сайтам такие атаки не страшны
Greyman я думаю вы немного ошибаетесь - данная атака как раз и направлена прежде всего против сайта, а вот осуществляется она уже через конкретного пользователя.

Di373Rя думаю вы немного ошибаетесь - данная атака как раз и направлена прежде всего против сайта, а вот осуществляется она уже через конкретного пользователя.

Возможно ты и прав..., а можно поконкретнее об этом, ссылочки там разные? А то вот тут кто-то видно тоже ошибается...;)
Специфика подобных атак заключается в том, что вместо непосредственной атаки сервера, они используют уязвимый сервер в качестве средства атаки на клиента.
http://ru.wikipedia.org/wiki/XSS

Вот еще можно здесь кратенько смысл почитать - Cross Site Scripting FAQ (http://www.cgisecurity.com/articles/dx27.html)


Di373Rастрой его так чтобы он запрещал использование java скриптов на незнакомых сайтах.
Дык в том то и суть атаки, что как раз это то никак и не помогает, т. к. скрип-то срабатывакет в зоне доверенного сайта, а вот внедряется с произвольного.

Дык...и что делать?

Неужели нет никакого "лекарства"?

Ну не панацеей конечно, но все же, является ограничение браузером длинны урла. Валидный урл очень редко когда бывает длиннее 30 символов. Есть подобные плугины к MS IE и браузерам на его движке, так же вроде когда-то слышал про такую возможность у кого-то еще. Конечно иногда бывают и длинные ссылки (например на файлы с описательными названиями и т. п.), но для таких случаев подобный хинт можно отключать, либо возможно у кого-то есть возможность его динамического отключения по клавише (напрмер, чтобы таки перейти по длинной ссылке надо кликнуть по ней с нажатой определенной клавишей). Сам практическим вопросом пока не задавался, т. к. я просто ссылки с статусной строке сморю как правило, хотя конечно это тоже далеко не панацея...