@Patrix zobacz na innej przeglądarce.

Dziwna sprawa, u mnie to wygląda tak, że po lewej pokazuje kto jest online,
ale jak chce rozwinac liste czata po prawej to jest pusto :)
Tak samo jak klikam na kogoś kto jest online po lewej to zamiast czata otwiera się profil osoby.
Po wyłączeniu SSL wszystko wraca do normy.

SOA#1
http://img267.imageshack.us/img267/2593/screen002p.png

Na FB dla Polski SSL włączyli. Jednak nie działa to jeszcze dość dobrze, przy zaznaczonej opcji SSL nie działa czat...

md5 + salt indywidualny dla każdego usera + id aplikacji i to wszystko ładnie wymieszane :)

Co do tematu uwierzytelniania SSL - wszędzie, gdzie mamy do czynienia z treścią generowaną przez użytkownika (User Generated Content) problem będzie istniał. Tylko w przypadku stron, które są zamkniętą całością (np strona banku) i nie ma możliwości dodawania własnej treści SSL zapewnia 100% wiarygodności strony. Oczywiście można zrobić coś z tych punktów, które wymienił pali. Z tego co się orientuję np facebook nie umożliwia bezpośredniego linkowania do obrazków, jeżeli połączenie jest po https.

Dokładnie JS'y w linkach na stronach... popularna sprawa.
No i nie jestem... nie wiem co tam cenzura wycięła :P


Nie wiem od jakiego czasu ale totalnie rozwaliło to system na VPC, szkoda, że screenów nie porobiłem,
nie mam powodów by zmyślać... zassał się fake antywir, który ściągał rootkity.
Po tamtym eksperymencie usunąłem Javę, bo i tak z niej teraz nie korzystam.

PS
Co gorsza Smartek tego nie wyciął chyba - avast mi się pluje cały czas, JS: Downloader po wejściu na jego stronę.

A jakże, wyświetla (fx 3.6, opera też):

Załącznik 56721
kiszka to ja, sam wszedłem

Zauważ, że przy hotlinku jpeg mozna to inaczej wybadać, didyouwatchporn cache nie sprawdza - ale to już faktycznie temat na inną dyskusję, masz rację.
Dobranoc :)

Te fałszywe antywirusy potrzebują interakcji ze strony użytkownika - same sięnie ładują (no chyba, że jesteś *****em i nie aktualizujesz maszyny regularnie to wtedy zaaplikują ci jakiegoś exploita..)

Na stronę Smarka ktoś się włamał i umieścił linka do skryptu JS, który ładował exploita. Na szczęście tamta domena od jakiegoś czasu jest "offline" i nie miało co Ci się odpalić - wiem bo manualnie próbowałem odpalić ten skrypt ;)

Lekarstwo na 49% badzewia roznoszącego się przez www to nie instalowanie lub odinstalowanie JAVY.
Wszystkie fake antywirusy, antymalware co to pięknie wyglądają i udają skanowanie pracują właśnie na tym.
Ostatnio strona Smartka padła atakiem tego,
btw nawet nie wiem czy to naprawił - ale wolę nie sprawdzać.

Nic z tych rzeczy. Historię mam aktywną, trybu prywatnego nie włączałem ;) W FF miałem zainstalowane rozszerzenie link status, które min. blokowało ten atak.
FF4 nie jest podatny na ten atak więc rozszerzenie jest zbędne ;)

Na Operce/IE/Safari/Chrome wyświetla jak się oglądało ? :>
Temat na dłuższą polemikę ;) No ale to nie miejsce tutaj. Bartez już wyjasnił, że nici z tego więc temat można zostawić.

heh, no nie musiałeś zdradzać :)

A co tam masz włączone, tryb prywatny?


-----------------------

Nie tylko niewiedza.
Zobacz, otwieram wątek na forum, spodziewam się, że całość idzie po SSL, a tu mi wyskakuje content z innej domeny. I co? Skąd mam wiedzieć zawczasu, że tak nie jest?

Of course, browser ostrzeże, o ile jako ZU nie wyłączyłem ostrzeżenia... Bo np. wyskakiwały ciągle przy wielu innych takich witrynach....

Nie powinna tym sterować przeglądarka, moim zdaniem, tylko witryna powinna być odpowiednio zrobiona.

andy odpalił kartę prywatną :]

Stare ;p Na szczęści jestem przed takimi rzeczami zabezpieczony ;)
"Good boy, PALI! You didn't watch any porn recently."
http://img580.imageshack.us/img580/8/screen005l.png :P

Problemem nie jest SSL a NIEWIEDZA zwykłych osób.

Dokładnie tak jak mówisz.

Problem polega na tym, że gdy wchodzę na witrynę tak mocno zabezpieczoną (czyli SSL) intuicyjnie zakładam, że jej admin zapewnił mi poufność we wszelkich aspektach (także tych, których SSL z natury rzeczy nie obejmuje).
Myślę, że ZU który nie rozumie co to SSL, a widzi te kłódki i pieczęcie - czyni to samo założenie.
Stąd jeśli jest solidna kłódka (SSL) to muszą być i kraty ;)


---------------------------------------
A co do metody ataku przez te "obrazki", o których tyle rozpisaliśmy się (ale przynajmniej dogadaliśmy się :) ) proponuję ten link:


Uwaga: ten link jest całkowicie bezpieczny, o ile nie podasz w okienku, które wyskoczy - prawdziwego loginu z tego forum. Gwarantuję! Niech mnie Bartezu zabije, jeśli jest inaczej. Podaj wymyśloną nazwę, która zupełnie Ciebie nie identyfikuje.

Po wypełnieniu prośby o name i uważnym przeczytaniu komunikatów będzie jasne, dlaczego prosiłem o zmianę nicka :)

Linka przeklejamy, a nie klikamy, bo to nie mój serwer i wolę nie ryzykować słowem za to co on ew. zbiera (kto nie wie co może zbierać, niech po prostu przekleja :) )
Wypelnić "name" i kliknąć ten guzik z głupimi napisami.
------------------------------------

Ale całe cdrinfo leci wtedy po SSL, treści ładowane z poza serwera idą ewentualnie po HTTP. Twoja sesja jest zabezpieczona i nikt jej nie przechwyci ani nie podsłucha, co najwyżej zobaczy że przeglądasz jakieś obrazki z domen całkiem innych niż cdrinfo ;) Jedynie serwer na którym są te obrazki będzie wiedział z jakiego adresu zostały ładowane.