URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 134548
[ Назад ]
Исходное сообщение
"Уязвимость в web-браузерах, позволяющая атаковать локальные сервисы через IP 0.0.0.0"
Отправлено opennews , 13-Авг-24 13:55 
Компания Oligo Security опубликовала информацию об уязвимости, затрагивающей Chrome, Firefox и Safari, и позволяющей обойти ограничение доступа к сетевым службам, доступным только на локальной системе, через обращение по IP-адресу 0.0.0.0.  Первые предупреждения об уязвимости были опубликованы ещё 18 лет назад, но до сих пор проблема так и не была исправлена...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=61696

Содержание
Сообщения в этом обсуждении
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 13:55 
18 лет, Карл!
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 14:09 
Ещё через 18 лет "localhost" проверят.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 15:08 
2013 год:
https://opennet.ru/36287-security
А сейчас ?
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 20:23 
Это проблема линуха, а не браузеров. Браузеры пишутся под венду, а остальное никого не парит.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Веб разработчик забугорный , 13-Авг-24 22:32 
К сожалению браузеры сейчас пишутся под корпорастов, а не под Винду. А у них несколько не тривиальные цели. В последнее время, к сожалению видно что политические.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Neandertalets , 14-Авг-24 11:07 
Цели-то крайне тривиальны и банальны.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 15-Авг-24 00:57 
Ну если вы про доминирование и мировое правительство, то может оно и звучит тривиально. Ну а реальных целей практически никто не знает. Кто им даст за так распоясать ся?
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Neandertalets , 15-Авг-24 01:07 
> Ну если вы про доминирование и мировое правительство, то может оно и
> звучит тривиально. Ну а реальных целей практически никто не знает. Кто
> им даст за так распоясать ся?

Ну про доминирование я соглашусь, а про "мировое правительство"... Не люблю всякие конспирологические теории. А вот глупость и алчность - это вечные источник и цель. Большинство целей (наверное 99,99999%) корпораций закрываются этой парой сущностей.

"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено EULA , 14-Авг-24 07:40 
И давно в винде GLibC появился?
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 17-Авг-24 07:54 
> Это проблема линуха, а не браузеров. Браузеры пишутся под венду, а остальное никого не парит.

Винду уже поимели куда сильнее

https://msrc.microsoft.com/update-guide/vulnerability/CVE-20...

"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Анониссимус , 01-Сен-24 18:41 
Вот именно! Анонимы, которые ругают линyпс за множество уязвимостей, ещё не видели кода вантуза...
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 14-Авг-24 18:46 
В Симпли до сих пор при установке все диски форматируются, и что, дистрибутив-то домашний?
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено FSA , 13-Авг-24 13:55 
А оно реально показывает то, что на 127.0.0.1...
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 13:59 
> отправка запроса на 0.0.0.0 аналогична запросу к адресу 127.0.0.1

Это кто такое придумал? Кто тот гений, который посчитал, что это было бы пРиКоЛьНоЙ)))) фичей? Запросы в 0.0.0.0 должны режектиться всеми подряд: юзерспейсом, кернелспейсом, всеми сетевыми устройствами и т.д.

"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 14:00 
Ядерщики, очевидно. Причем штука достаточно давно известная.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Rev , 13-Авг-24 14:05 
Да реально, надо быть идиотом, чтобы такое придумать.
Я когда разрабатывал блокировщик рекламы по DNS удивился сильно такому поведению. Они же чаще всего возвращают вместо записей A/AAAA айпишник 0.0.0.0 или ::0. Значит ваш браузер постоянно долбит локальный сервер, например.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 15:52 
Это значит шиш тебе а не адрес.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено pavlinux , 14-Авг-24 13:39 
INADDR_ANY (0.0.0.0) -  означает любой адрес для привязки сокета;


Если вы тyпыe и не знаете для чего это сделано в IP, забейтесь под коврик и не пеpдите  

"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 14:06 
Это порт для широковещательных (для всех) пакетов.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 14:07 
адрес конечно )
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 14:25 
Ты путаешь с 255.255.255.255
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 14:28 
Какую бы длину CIDR ты ни взял (/0, /1, /2, ..., /31), 0.0.0.0 -- это адрес сети, потому что все биты после CIDR равны нулю. Адрес сети не является валидным destination address.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 15:01 
Это адрес всего Интернет (самая широкая сеть) или ошибочный адрес или отсутствие адреса, который нельзя использовать.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 20:54 
Ух ты, оказывается у глобальной сети, состоящей из бэкбонов и локальных сетей, есть адрес! Ошибочный адрес тоже сильно, сделай ip del default, исправь ашипку скорее!
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 20:56 
ip ro del default, конечно же. Настолько был ошарашен наличием у интернета ip адреса
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 22:56 
Представь делал и работало. Только все маршруты явно прописаны.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 23:04 
Все поняли что адрес интернета это шутка и формализм. Как и адрес подсети.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 23:08 
а кто использует нотацию 0.0.0.0 как адрес назначения тот и умнее вас.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено pavlinux , 14-Авг-24 13:40 
адрес всего инета - 0.0.0.0/0, по дефолту, без указания, маска /32  
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено 129299 , 14-Авг-24 21:41 
Арпанета. Пасхалка осталась ещё со времён холодной войны
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 15:36 
Ну какие проблемы? Просто закрой у себя фаерволлом доступ к 0.0.0.0/0, делов-то!
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 16:17 
а почему не 0.0.0.0/255.255.255.255?
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 16:58 
Так надёжнее.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Веб разработчик забугорный , 13-Авг-24 22:42 
Пиндоская оборонка. Может кому-то смешно, а меня недостатки веба уже давно достали. Но пока всех все устраивает. Сокеты отличная штука в свое время было - можно много устройств в одну сеть с ещё большим количеством программ подключить, но есть свои недостатки. Официально вся проблема в том что соединённые американцы объявили гонку в которой никто кроме них не участвовал и выиграли. И пока разные страны строили OSI как международную систему, те построили TCP/IP и первая в свою очередь осталась теорией. А над второй надстроили HTTP и пошли деньги рекой за всякую хрень типа доменного имени, который когда-то можно было просто бесплатно получить.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 22:53 
IPX тоже американский. Где?
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 23:41 
Во первых, причем тут этот протокол? А во вторых, вроде бы как написано что Новел НетВаре американская компания. Если у вас другие сведения и вы хотите быть понятым, изъясняйтесь более понятным языком. Это попытка отменить мой комментарий с помощью вашего непонятного вопроса? Добавьте пожалуйста аргументы, а то как-то некультурно получается с вашей стороны.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 23:59 
К вопросу причем:
TCP/IP - сетевой протокол. IPX - сетевой протокол. Оба американские. Оба реализованы "в железе". Конкурировали одно время. Выжил TCP/IP.

OSI это не реализация, а теория взаимодействия открытых систем. Построение сетевого стека. Сравнивать её с TCP/IP некорректно. Я не знаю реализации OSI "в железе".


"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 14-Авг-24 00:08 
Ну вот читайте выше и все поймёте, раз ничего не поняли, зато умничаете. Когда будет что по содержанию комментария сказать - пишите.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 14-Авг-24 00:28 
> Я не знаю реализации OSI "в железе".

Ну вот из-за того что TCP/IP стало набирать обороты все международные разработки так и не воплотились в жизнь - у них было много споров и разные взгляды на жизнь, осталась только теория. О том что СССР в этом участвовал я узнал от преподавателей в киевском политехе, которые работали с подобными проектами. Модель OSI должна была контролировать рынок и разработку протоколов как ЕС сейчас контролирует браузеры и разные веб-сайты. Возможно что была бы реально международная организация занимающаяся интернетом, а не разные „всемирные„ плоды пиндосов. Там всемирного одно название только.
А вы только представьте себе что в своей стране занимаетесь сами адресацией и топологией, и доменами, и что есть международный договор обмена информации. Вот история пошла бы по другому! Правда? Но поколение старше хотели свободки и решили по другому. Я не одобряю их решения - мы в итоге стали беднее и покрутить взад не получится - энтузиазма бороться за свое у программистов я не вижу. Вы понимаете что речь не о возврате к прошлому, а о создании своих протоколов и браузеров, может ещё чего.

"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 14-Авг-24 01:39 
Впрочем по поводу старшего поколения хочу добавить - мое поколение не поумнело, ну по крайней мере у нас, в Украине. Не скажу за вашу страну ничего хорошего или плохого, потому что не знаю как у вас - не живу там, да и не пострадал я в общем, может поэтому. Проблема с протоколами, браузерами на самом деле все ещё актуальна. Правда со временем из-за запущенности этого вопроса возникают проблемы со свободой доступа к ресурсам и утечки информации, ну и психологическое оружие. Т.е. как снежный ком с горы катятся проблемы. А все потому что с 90-х годов наука никому не нужна была, а сейчас внезапно военные действия и всем нужна. Добавлю что ИТ вроде уже считается не наукой, а просто технологиями, хотя вопрос спорный для меня.
Казалось бы читаешь новости типа замедления YouTube и я допустим прекрасно понимаю почему это происходит - то что можно сделать с такой властью как у этого сервиса я видел воочию. Массовый психоз это один из вариантов. Но из-за контента многие люди отказываются от полной блокировки, т.е. западный сервис сделали ценностью - молодцы. А ведь никто ж не заставляет за копейки снимать эти ценные видео, никто не заставляет выкладывать ценный научный труд на какой-нибудь ТурбоБит, но ведь за каждое скачивание или посмотр они дают копейку, которую отчеканят соответственно количеству желающих продать информацию. Часть информации будет очень ценной, ценнее затрат и чтоб было так - будут созданы специальные условия фильтрации, показа и релевантности за которую рекламодатель ещё и заплатит. У нас вот колония запада по факту - YouTube никто не запрещает, но проблемы есть похлеще. Стоит ли оно того? Я так не считаю. Это как дороги или безвиз, ах ну да где-то ещё и безнал. Морковка для осла.
К нам пришло из-за рубежа культура умных людей унижать (ботаны, з@дроты и т.д.), ну вот много людей разъехались. А за рубежом, откуда это пришло им рады и почему-то культура другая. Кто ж был заинтересован в этом? Блин, задело, наверно некоторый стресс сказывается. В общем я хочу сказать что проблема с протоколами и веб-технологиями не первый день и решаема. И хочу сказать что я очень огорчен решениями как более старшего поколения, так и моего - мы как будто пытаемся выиграть у казино в этих технологиях вместо того чтобы строить нормальную жизнь здесь и сейчас не смотря на колосальную отсталость в технологиях. Потому что можно не догонять иностранцев, а просто идти своим путем. Проблема в деньгах - без них никому это не интересно, а с ними покажут любое представление. И в головах - сердца нет у многих людей, не слушают. Свое нужно любить. Да, я считаю что создавать свои протоколы передачи данных вполне отличная идея и что организация имеющая свою резиденцию в каждой стране для того чтобы учитывать все интересы может называться международной, а текущие организации соединённых американцев мне не понятны. И я считаю что именно это видение как-раз за свободный интернет. В первую очередь от домогательств, а во вторую - в плане созидания.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 14-Авг-24 02:22 
Простите пожалуйста, наверно такого бреда наговорил - долгое время не выхожу дальше огорода, с людьми особо не общаюсь. Да и мое мнение всегда кардинально отличалось настолько что у многих людей вызывает весьма негативные чувства, хоть и явно пользуются моим мнением. Но я никого не хотел обидеть.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Прохожий , 14-Авг-24 10:07 
>возникают проблемы со свободой доступа к ресурсам

Например, какие? Ютьюб? Так доступ к нему никто не ограничивает со стороны владельца (ну кроме тех каналов, которые не отвечают стандартам внутренним).
А так исходные коды сетевого стека давно открыты, вы что, не знали?

"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 14-Авг-24 12:36 
> К нам пришло из-за рубежа культура умных людей унижать

То есть придолб "Ты чё, самый умный?" тебе американцы подкинули?

> Да, я считаю что создавать свои протоколы передачи данных вполне отличная идея

И кому твои протоколы, кроме тебя самого, нужны? В мире около 200 стран. Кому нужны эти больше 200 "суверенных импортозамёщённых протоколов"? А если тебе это чисто ради "секаса с самим собой", то тебе и сейчас никто немешает выдумать свой и делать с ним что хочешь.

Ты там у себя на огороде, без взаимодействия с человеками и разговаривая с растениями, совсем одичал и не понимаешь, почему выбирают распространённые протоколы, даже с проблемами, а не идеальные (нет) сферические в вакууме, которыми пользуется только никто?

"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено bOOster , 14-Авг-24 09:18 
Какая теория?
модель OSI это модель взаимодействия протоколов обмена данными..
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено pavlinux , 14-Авг-24 13:47 
>  Новел НетВаре американская компания.

Чувак ты себя зарываешь,  Novel Netware - это операционка компании Novel  :D

"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Прохожий , 14-Авг-24 10:00 
>соединённые американцы объявили гонку в которой никто кроме них не участвовал и выиграли. И пока разные страны строили OSI как международную систему, те построили TCP/IP и первая в свою очередь осталась теорией.

Так разные страны строили свою систему, или была гонка, в которой никто не участвовал, кроме американцев?

Но если кто-то что-то всё-таки строил, какие-то труды должны были остаться? Можете назвать их?

"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Ананоним , 13-Авг-24 14:06 
Ты заходи на наш "безопасный" сайт, а мы посмотрим что ты делаешь на твоём компьютере!
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 16:37 
https://www.google.com/intl/ru/chrome/dev/?platform=linux
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Rev , 13-Авг-24 14:06 
А чинить этот идиотизм всё же решили на уровне браузеров? А как же другие приложения? Почему просто не сделать по-человечески, не давать подключаться к 0.0.0.0 на уровне ОС?
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено КО , 13-Авг-24 14:09 
Ого, вы наверное пользуетесь Хромбуком
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Rev , 13-Авг-24 14:11 
Нет, конечно.
Но при чём тут это?
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 14:11 
а куда девать пакеты адресованные для всех. Заодно что делать с пакетами для групп.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Соль земли , 13-Авг-24 16:54 
Ставить правила - это не задача ОС. А прикладного программиста.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 18:04 
в gnu/linux есть iptables/ip6tables вот там администратор и прописывает правила
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 19:33 
Команду не подскажете? А то:
iptables -A INPUT -d 0.0.0.0/32 -j DROP
- что-то не возымело эффекта :(
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 22:15 
Если это правда, то я подозревал бесполезность. Прежде чем пакет поступит на сопоставление с правилами, ядро успеет подменить адрес назначения.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Xasd7 , 13-Авг-24 17:44 
> А как же другие приложения?

а какие другие приложения (кроме Web Браузера?) содержат внутри себя по сути целую сетевую операционную систему со своими сложными политиками и разграничениями прав? :-)

"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Фняк , 14-Авг-24 23:40 
Сделайте. Исходники открыты
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено myster , 13-Авг-24 14:08 
Меня больше парит это:

$ ls -l /usr/lib/chromium/chrome-sandbox
-rwsr-xr-x 1 root root 225696 Jul 30 09:52 /usr/lib/chromium/chrome-sandbox

Проблема всех веб-браузеров на базе Chromium. Это опаснее, чем доступ к 0.0.0.0.

"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Wed , 13-Авг-24 14:10 
ls: cannot access '/usr/lib/chromium/chrome-sandbox': No such file or directory
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено myster , 13-Авг-24 14:17 
> ls: cannot access '/usr/lib/chromium/chrome-sandbox': No such file or directory

Если это Debian, путь чуть другой будет, поиском можно найти файл

"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 14:27 
нет.
~$ chromium
[4816:4816:0813/132313.710415:ERROR:zygote_host_impl_linux.cc(126)] No usable sandbox! If this is a Debian system, please install the chromium-sandbox package to solve this problem. If you want to live dangerously and need an immediate workaround, you can try using --no-sandbox.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 15:09 
> ~$ chromium

~$ chromium
bash: chromium: команда не найдена

"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 18:12 
не, просто нет хромиума вообще)
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 14:24 
а в чем опасность?
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Tron is Whistling , 13-Авг-24 14:30 
В букве s.
S stands for security.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 14:49 
Это вопрос доверия чужому коду. Открытый код - читай - компилируй - исполняй (если доверяешь)
Нужны ли песочнице рут привилегии?
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 18:52 
>Нужны ли песочнице рут привилегии?

Емнип для смены пространства имён нужны. Для того, чтобы обойтись без этого, система должна быть особым образом настроена.

"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 20:09 
И как часто ты перечитываешь исходники всех тысяч пакетов, что есть в линуксе?
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 15:56 
Кажется, это чтобы добавлять apt-upgrade chromium в /etc/crontab . Но не уверен.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 16:07 
По честному это должен делать сам рут, а не разработчики.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено ОШИБКА Отсутствуют данные в поле Name , 13-Авг-24 20:50 
Вот совершенно не их дело туда чего-то добавлять.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 16:57 
$ find /var/lib/flatpak/app/io.github.ungoogled_software.ungoogled_chromium/ -name chrome-sandbox | wc -l
0
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено glad_valakas , 13-Авг-24 19:10 
sudo apt remove chromium-sandbox
а дельше сами разбирайтесь.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 14:10 
Что там с Tor Browser'ом ?
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Тщ Майор , 13-Авг-24 14:30 
Все хорошо.
Все хо-ро-шо!
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 14:10 
а аутентифицировать пользователей на локалхосте этим кагбе-разработчикам уязвимых API религия не позволяет?
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Веб разработчик забугорный , 13-Авг-24 22:50 
Прочтите пожалуйста статью и попытайтесь понять суть уязвимости
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 14:26 
Обычно пакеты на широковещательный адрес режутся на маршрутизаторе.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 14:27 
до него не доходит
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Веб разработчик забугорный , 13-Авг-24 22:52 
Ну может он к маршрутизатору клавиатуру и монитор прицепил с браузером и проблема ему непонятна
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 14:28 
Ну да, только если пакеты не генерируются кодом JS со страницы, котрый в браузере исполняется.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 14:26 
> Доступ к сетевым сервисам локального хоста также может использоваться для сканирования сетевых портов с целью косвенной идентификации пользователя.

Для доступа к портам протокола SMB, который, как бы, не предназначен для выставления в инет.

"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 14:27 
В нормальных операционных системах такой проблемы нет, заметьте.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Вы забыли заполнить поле Name , 13-Авг-24 14:30 
В каких например?
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 14:38 
В мастдае пинг на этот адрес дает общий сбой.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено 12yoexpert , 13-Авг-24 15:01 
так в любой нормальной системе, кроме винды (потому что она ненормальная)

на этом даже блокировзики рекламы построены

https://github.com/StevenBlack/hosts

"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 20:12 
Учитывая, что сетевой код винда цельнотянула из юниксов, а в линуксе как раз таки с нуля написали криво, то... Ты бы хоть матчасть подучил, чтоб не кринжевать так обильно.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено EULA , 14-Авг-24 08:17 
И поэтому в Windows 8 и свежее TCP/IP стек винды имеет те же дыры, что и Linux, которых не было в BSD и SUN?
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 16-Авг-24 02:02 
> а в линуксе как раз таки с нуля написали криво

Иди посмотри в исходники, чтобы такую дурь не писать.

"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Tron is Whistling , 13-Авг-24 15:05 
Хорошо хоть не синий экран.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 15:44 
Судя по таблице маршрутизации винда не возражает отсылать пакеты с адресом назначения 0.0.0.0
Ругается ближайший маршрутизатор
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 20:15 
Не так, маршрутизатору совершенно пофиг куда ты чего шлёшь. Он может ответить только refuse или drop, если заранее определено.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 15:57 
"общий сбой"? Синий экран что ли? Ожидаемо.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 16:13 
ping 0.0.0.0

Обмен пакетами с 0.0.0.0 по с 32 байтами данных:
PING: сбой передачи. General failure.

А вот как он получается, если есть строка маршрутизации? Это задачка для публике. Подсказки в постах под темой.

"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено EULA , 14-Авг-24 08:22 
Хм? А к LDAP с контроллера домена AD по адресу 0.0.0.0 доступ есть.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Веб разработчик забугорный , 13-Авг-24 22:56 
А мастдае эта проблема присутствует. Нужно просто понять уязвимость. Я на работе использовал, но для того чтобы помочь коллегам и тогда ещё не знал что это уязвимость.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 14-Авг-24 00:05 
В винде пингую 0.0.0.0 приходит General failure, а ответ от 127.0.0.1
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 15-Авг-24 00:51 
Вот то-то и оно. А если есть локально сервера, то вполне возможно получить некоторые данные.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 18:57 
Ради прикола попробовал в QNX на пинг ответа нету.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 20:32 
Было бы странно, если бы 0.0.0.0 тебе ответил
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 14:53 
Это в OpennetOS или в TheoryOS
Конечно таких проблем нет, эти оси написаны разноцветными ручками в тетрадке и еще не прошли этап теоретической разработки.
Да и не пройдут никогда.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 14:33 
Рили у меня через это плагин для браузера долгое время общался с локалхостом. Для определенных задач. И всегда думал что так и должно быть. А это оказывается баг.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Выньдузь. , 13-Авг-24 14:49 
Все на Винду и Бзду, особенно с Тор браузером. Линь все-таки очень фичастый.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 16:36 
Видимо для разработчиков AI-приложений это новость.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 14:36 
IP-адрес 0.0.0.0 — это немаршрутизируемый адрес IPv4, который можно использовать в разных целях, в основном, в качестве адреса по умолчанию или адреса-заполнителя. Несмотря на то, что адрес 0.0.0.0 может использоваться в компьютерных сетях, он не является адресом какого-либо устройства.
Инженерная группа постановки задач Интернета IETF определяет IP-адрес 0.0.0.0 как «зарезервированный адрес специального назначения».

Приговор - зарезать где встретишь. В хостах и маршрутизаторах.

"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Соль земли , 13-Авг-24 16:51 
Сейчас придут админы циско и скажут, что ты адресами разбрасываешься.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 20:34 
Конечно зарезай, хорошая идея. Я бы сказал гениальная.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 14-Авг-24 00:08 
Дропать, когда 0.0.0.0 стоит в поле IP пакета, а не в нотации таблицы маршрутизации. Так понятнее?
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Kuromi , 13-Авг-24 14:55 
Еще одна причина использовать тот же uMatrix - по умолчанию он подобное блокирует.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Выньдузь. , 13-Авг-24 14:59 
Выше пишут, что это касается не только браузеров. uMatrix может работать как , брандаумер для всей системы?
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Kuromi , 13-Авг-24 15:20 
> Выше пишут, что это касается не только браузеров. uMatrix может работать как
> , брандаумер для всей системы?

А никто и не говорит о решении проблемы глобально помощью uMatrix. Проблема на данный момент наиболее опасна в браузере.

"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 23:22 
Простите, обеднен фантазией. Чем оно опасно? Ну в случае с ИИ - понятно, может у ИИ есть возможности выполнять что-то на компьютере. Можно узнать разработкой чего ты занимаешься. А какие сервисы могут быть настолько опасны что дадут возможность удаленного доступа? Мне вот API разрабатываемого сайта приходит на ум, но пока больше ничего.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 14-Авг-24 20:25 
- дополнительная метрика для отпечатка пользователя
- первичный сбор информации для определения целесообразности дальнейшего взлома
- различные комбинации с другими уязвимостями в самом браузере и/или локальных сервисах
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 14:57 
https://samy.pl/webscan/
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 15:14 
У меня сайт hh.ru шарился по открытым портам на 127.0.0.1. Написал им в тех.поддержку, сказали ловят ботов на моём компе. Норм, чё.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 15:23 
А мелочь в твоем кармане не ищут, чтобы не звенела ))
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 15:27 
А где функциональность песочницы? Или кодеры не знают что это за адреса? В настройки
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 15:56 
Очень много сайтов таким промышляют. Например аддон PortAuthority показывает предупреждение если сайт пытается просканировать порты.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 16:58 
> сайт hh.ru шарился по открытым портам на 127.0.0.1.

Это ещё что. Некоторые сайты используют фронтальную камеру. У меня смартфон с физической фронталкой и разные банковские, сайты объявлений, сайты знакомсты, сайты поиска вакансий могут запросто сделать фото. Делают они это разово и настолько быстро, что на смартфонах без физической фронталки это просто не будет заметно, индикатор не будет об этом сообщать.


"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 17:02 
Выключатель камер в Андроиде штатно идёт. Почему не пользуешься?
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 17:08 
> Почему не пользуешься?

Сейчас уже пользуюсь. Когда я перешел на Android для меня это было сюрпризом.

Но с тех пор, я выбираю такие аппараты, чтобы на можно было установить хороший кастом, разлочить рут и блокирую доступ к камере приложениям.

"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 17:28 
Для этого совсем не обязательно возиться с рутованием и кастомами. В ванильном Андроиде из коробки.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 20:36 
Звучит как брехня. Все браузеры эксплицитно запрашивают разрешение на камеру per site. Или ты разрешаешь, а потом жалуешься лол?
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено OpenEcho , 13-Авг-24 17:50 
eBay был первоткрывателем сканить 127. ... пока им по попе не настучали
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено glad_valakas , 13-Авг-24 19:08 
про этот прикол hh.ru все заинтересованные уже знают, они купили решение по проверке безопастности клиентов у кого-то жирного и сертифицированного типа каспера или ПТ сосурити.

а есть пример живого сайта чтобы сканировал 0.0.0.0 ? хочу проверить uMatrix на нем тоже.

"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 15:35 
В винде считают 0.0.0.0 легальным адресом назначения

Активные маршруты:
Сетевой адрес          Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.100     20

"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 19:41 
Это не адрес, это маршрут по умолчанию - посмотри на поле "Маска сети".
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 22:31 
Умолчание значит если явного маршрута нет используется этот. Для 0.0.0.0 тоже.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 14-Авг-24 03:53 
Так попробуй его пингануть, теоретик. Это специальный адрес, на который ничего не отправляется, и пакеты с этим адресом назначения даже не проходят через таблицу маршрутизации.

В линуксе, если что, формат записи маршрута по умолчанию такой же:
> Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
> 0.0.0.0         192.168.0.1     0.0.0.0         UG        0 0          0 eth0

"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено pavlinux , 14-Авг-24 14:01 
> Так попробуй его пингануть, теоретик. Это специальный адрес, на который ничего не отправляется,
>  и пакеты с этим адресом назначения даже не проходят через таблицу маршрутизации.

0.0.0.0 - это сеть, а не хост, тебе сказали что там есть маска 0.0.0.0  

В таблице маршрутизации, под 0.0.0.0/0  попадают все адреса не попавшие в другие правила (или в другие по приоритету)
и улетают в указаный шлюз

Народ вы после онлайн курсов сюда не приходите!


"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 16:22 
Видимо, фича не для всех. Яндекс браузер блокирует это.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 16:30 
https://www.opennet.me/opennews/art.shtml?num=56830
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 18-Авг-24 15:36 
Пользовался старым Яндекс браузером - запустил через проксичейнс и работает все. Теперь так не работает, таки обновил его. Теперь через настройки прокси, которые сидят в системных настройках. А мне не нужно всю систему так пускать. Пробовал через командную строку - также не работает. Мелочь в общем, а нервирует сильно.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Ананий , 13-Авг-24 16:33 
вывод - используйте 127.0.0.2!
not a bug
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 16:46 
вся 127 подсеть предназначена для локальных адресов легально
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 16:36 
> При обращении через 0.0.0.0 механизмы CORS (Cross-Origin Resource Sharing) и PNA (Private Network Access) не могут помешать совершению подобной атаки.

Спрашивается с какого бодуна тут корс не пашет? Он же 0.0.0.0 как айпи адрес распознает, и как корс позволяет не в контексте 0.0.0.0 выполнить запрос?

"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Соль земли , 13-Авг-24 16:44 
> В современных браузерах имеются средства для противодействия обращению к 127.0.0.1

Тут, видимо, CORS не причём. Решает хардкод. Просто про, походу, 0.0.0.0 забыли. Зато страницу в википедии ему создать не забыли... https://en.wikipedia.org/wiki/0.0.0.0

"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 16:52 
Либо некомпетентность либо понадеялись на ядро. 0.0.0.0 невалидный адрес назначения и пакеты должны дропаться в ядре
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Соль земли , 13-Авг-24 16:58 
Это не задача ядра, его задача дать рычаги, а не ограничения.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 17:07 
Все разработчики в курсе философии linux?
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 23:58 
Да. Stable что угодно is nonsense.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 19:05 
> Тут, видимо, CORS не причём.

там на картинке mode: 'no-cors' у fetch, что за хня?

https://developer.mozilla.org/en-US/docs/Web/API/Fetch_API/U...

Making cross-origin requests

Setting mode to no-cors means the request must be a simple request, which restricts the headers that may be set, and restricts methods to GET, HEAD, and POST.

И в чем уязвимость то? Отрубаешь корс и делов то.

"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Соль земли , 13-Авг-24 16:37 
https://github.com/torvalds/linux/blob/master/net/ipv4/route...

Если daddr false, то адрес источника в пакете копируется в адрес назначения. 0.0.0.0 является false значением. Таким образом в пакете адрес источника 127.0.0.1 ставится, как адрес назначения пакета.

"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 16:56 
Это вместо того чтобы просто дропнуть?
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 17:00 
if (!fl4->daddr) {
        fl4->daddr = fl4->saddr;

оригинально

"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 18:55 
Код впечатляет.
От диды наверное смеялись, оставляя потомкам такое)
И это самое качественное ядро линукса, не какие-то мелкомягкие поделки!
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 22:37 
Ну задумка была вернуть невалидный (или испорченный) пакет отправителю. Если отправитель на фильтре то получается пособничество в обходе фильтра.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 17:06 
Фикс для Линукса (так же помогает от многих других сетевых утечек):

iptables -I 1 INPUT -s 0.0.0.0/0 -j DROP
iptables -I 1 OUTPUT -d 0.0.0.0/0 -j DROP

"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено IPV6 , 13-Авг-24 17:10 
а для IPV6?
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 17:12 
ну на output таких пакетов не будет. 0 заменится на адрес источника
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 17:31 
Ещё как надо! В исходниках хорошо видно почему.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 17:51 
подменится или в INPUT или FORWARD. он же вышел из ядра
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 17:30 
Фикс для IPv6:

ip6tables -I INPUT 1 -s ::/0 -j DROP
ip6tables -I OUTPU 1 -d ::/0 -j DROP

"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 17:32 
Опечатался. Не знаю как в жтом форуме редактировать сообщения, так что повторю целиком, но уже правильно:

ip6tables -I INPUT 1 -s ::/0 -j DROP
ip6tables -I OUTPUT 1 -d ::/0 -j DROP


"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 17:22 
> Уявзимость позволяет обойти запрет обращения к 127.0.0.1 и организовать атаку на внутренние сервисы...

Интересно, через сколько лет до них дойдёт, что блочить нужно 127.0.0.0/8

"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 17:30 
а со своими службами на хосте как связываться?
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 17:37 
на каком уровне? на хосте формируется пакет с адресом назначения 0.0.0.0. приложение думает - это не 127 подсеть - значит можно. Ядро меняет в адресе назначения 0.0.0.0 на пакет в 127 подсеть. Надо очку устраивать )
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено OpenEcho , 13-Авг-24 17:56 
Рыжий лис в обломе:

> ‍Mozilla Firefox: As of now, there is no immediate fix in Firefox. Although a fix is in progress, Firefox has never restricted Private Network Access, so technically it was always allowed. From this perspective, is “nothing to fix” since PNA is not implemented in the first place.

Following our report, Mozilla has changed the Fetch specification (RFC) to block 0.0.0.0. Firefox has prioritized the implementation of Private Network Access, but it is not implemented yet. At an undetermined point in the future, 0.0.0.0 will be blocked by Firefox and will not depend on PNA implementation.

"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Someone , 13-Авг-24 18:23 
Ой как эпичненько. Просто песня. С размаху да по самым основам бытия.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 18:56 
Вывод? Нужно как минимум два браузера, один для разработки, второй для интернета. Оба в разных пространствах имён
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Выньдузь. , 13-Авг-24 19:20 
firejail --net=none Бгг.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 20:44 
Вывод - 99% комментаторов не понимают в сетях от слова ничего. Какой-то позор. А ещё меня ругают, что я гуманитариев шугаю, тут как оказывается весь опеннет из них состоит!
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 13-Авг-24 22:41 
Цветком запахло )
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 14-Авг-24 03:12 
Очень наивно. 85% даже не только в сетях. В большинстве своём, казуальные юзеры и юные падованы, которые каким-то чудом поставили себе оупенсорс.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено BrainFucker , 13-Авг-24 21:08 
Ну, у меня в браузерах стоит расширение uMatrix (раньше было аналогичное Policeman, но уже заброшено), которое по дефолту блочит все запросы к сторонним ресурсам что не разрешены явно.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Anonim , 13-Авг-24 21:49 
Большинство троянов используют 127.0.0.n и 0.0.0.0 для коммуникации с С2 серверами по протоколу DNS, весь траффик закриптован. 17 лет смешно. Это было всегда.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 14-Авг-24 03:09 
>TorchServe is Java-based and implements a RESTful API for model serving and management in production

Для продакшна имеет смысл использовать либо ONNX, либо GGUF. TorchServe - в пролёте, ибо Torch - не для инференса.

"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено мяв , 14-Авг-24 06:32 
однако, весело.
не жалею что потратила немного времени на настройку tomoyo почти год назад, так с того момента ни одна уязвимость юзерспейса и не проканала, вроде.
сейчас даже с новыми приложениями особо париться не приходится, ибо это пара строк вида "use_group X", пара специфичных для приложения разрешений в домене и, условно, "initialize_domain PATH from any"
в исключениях.
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено мяу , 14-Авг-24 10:46 
Йифф?
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Янис , 14-Авг-24 10:30 
Еще один повод не пользоваться браузерами от корпораций. Есть Falkon, Palemoon
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 15-Авг-24 00:47 
Ну так а движок один и тот же сейчас везде. Есть ди большая разница?
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 14-Авг-24 10:57 
Блочить нулями в /etc/hosts, типа

0.0.0.0   chrome.google.com
0.0.0.0   clients2.google.com

тоже нельзя?

"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Neandertalets , 14-Авг-24 11:08 
Занятно: а в конфигах зачастую 0.0.0.0 означает "прослушивать все IP/интерфейсы".
"Уязвимость в web-браузерах, позволяющая атаковать локальные ..."
Отправлено Аноним , 20-Авг-24 22:12 
А 192.168.0.1?