阅读:2484回复:10
【安全么?】mozillazine.org的论坛上居然可以使用html代码
我印象中自从html代码漏洞出现后,几乎网上所有的论坛都禁止使用
html代码,本论坛也不例外。 今天到mozillazine.org发贴,心血来潮想去改个签名,结果发现html 代码可用~~~ 不知道这是怎么回事,有害的html是会伤害论坛本身还是 仅仅浏览论坛的网友?我想肯定是后者,否则谁也不敢这样 开论坛。如果是后者,那是不是暗示了Firefox对有害的html 代码有很好的免疫力?mozillazine在这里意味深长地打开这 个功能是不是有一种“用ie的别想安全的浏览我们的论坛”的意思? |
|
|
1楼#
发布于:2005-07-07 09:13
所有的micrsoft window系列操作系统中都为用户提供了文件转化功能(允许用户将文件格式
从一个形式转换为另一种形式),特别是对HTML格式的文件转化功能,这个功能允许用户以 HTML方式浏览、输入或者是保存文件。 最近发现window的HTML转换器在转换过程中的剪切和粘贴操作存在缓冲溢出漏洞。问题存在于 HTML的转换函数库中,当<HR>元素中包含精心构造的align属性值时会引发该函数库的一个溢 出,而该函数库在系统中可以用来加载任意的请求。举个例子:IE浏览器调用该函数库处理存 储在粘贴板(内存缓冲区中)中的HTML数据,一个攻击者可以利用脚本程序使得IE拷贝包含精 心构造的攻击代码的<HR>元素到剪贴板中然后调用该函数库去处理它从而触发该溢出。黑客可 以构造一个包含攻击脚本的HTML页面来引诱受害者点击,一旦受害者点击该页面,系统将在不 出现任何提示的情况下以当前用户的身份运行页面中包含的攻击代码,同样入侵者也可以构造 一封HTML格式的电子邮件来利用该漏洞。 注:1、因为window 2003在发售时配置有“增强安全配置”的设置,能够将运行非授权代码的 危险减少到最小,所以该漏洞对window 2003的影响相对较小 2、该漏洞影响所有调用此函数库的应用软件 3、由于无需在用户端采取任何措施,黑客就能够利用这一安全缺陷,微软已经将该漏洞 的危险等级设定为最高级——"危急" 影响系统: Microsoft Windows 98 Microsoft Windows 98 Second Edition Microsoft Windows Me Microsoft Windows NT 4.0 Server Microsoft Windows NT 4.0 Terminal Server Edition Microsoft Windows 2000 Microsoft Windows XP Microsoft Windows Server 2003 风险:高 |
|
2楼#
发布于:2005-07-07 09:13
论坛开放的HTML语法,应该是会屏蔽一部分可能导致危险的标签的。
比如mop,就禁止javascript之类的标签 Flickr,只开放排版和链接相关的有限几个HTML tag 我想mozillazine应该也是这样处理的。 |
|
3楼#
发布于:2005-07-07 09:13
当年在没有官方网的时候,firefox在中国发展的如火如荼,有了官方网以后,我发现干什么事情总是拖拖拉拉的,我反感官方网
|
|
4楼#
发布于:2005-07-07 09:13
不知楼上所说的官方网是指 英文版还是中文版?
而且和楼主的问题好像没什么关系吧? mozillazine.org 只是英文官方的一个论坛 也值得讨厌? PS: 对于自己讨厌的事物或人 可以选择避开不理。 |
|
|
5楼#
发布于:2005-07-07 09:13
我说的是中文的那件事情,说句实话,我原来也准备搞汉化,最后因为中国的官方网出现,我放弃了。
|
|
6楼#
发布于:2005-07-07 09:13
这够更统一点,对不?
|
|
|
7楼#
发布于:2005-07-07 09:13
哦,那不是以后可以发HTML的帖子了?哈哈。
不过没什么兴趣。HTML漏洞,搞了那么多年了。 人都麻木了。 |
|
8楼#
发布于:2005-07-07 09:13
|
|
|
9楼#
发布于:2005-07-07 09:13
那跟已经很完善的bbcode放在一起不是多余?
还是为了照顾只知道用html的网友? |
|
|
10楼#
发布于:2005-07-07 09:13
大概是方便慣用html的网友吧。
|
|
|