12/19/2006

JavaEye 掛掉了


還蠻驚訝的,剛剛發現到 JavaEye出現這個畫面。

情況如下
当你访问JavaEye网站的时候,位于JavaEye服务器和你的浏览器中间的某个路由器在返回页面中植入如下代码
也就是說某個 router 會幫你把 response page 植入一個 XSS 的 script,簡直防不慎防。儘管我們可以寫很好的 HTML Filter ,但是掌控權不在你手上就沒輒了。唉,身為 Ruby on Rails 愛好者,我不希望這個優質的 Ruby on Rails 討論區垮掉呀。祝 JavaEye 及早解決問題。

解決方式除了原本網頁所說的
或者您也可以临时采取以下手段避免被感染: 编辑C:\Windows\system32\drivers\etc\hosts,加入一行:127.0.0.1 cool.47555.com
如果網站管理者希望網站早點起來,還有一個狠一點的作法。既然這個 XSS 只對於 IE 發作,可以在 controller/application.rb 加入
if request.env['HTTP_USER_AGENT'] == ' 瀏覽器的判斷'
加以 filter 掉 IE 的 request。相信 JavaEye 的客群應該都有自備 Firefox 可以使用,在這關鍵時刻先撐過再說。

PS.
User Agent 列表





Safari Mozilla/5.0 (Macintosh; U; PPC Mac OS X; zh-tw) AppleWebKit/418.9.1 (KHTML, like Gecko) Safari/419.3
Firefox MACMozilla/5.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv 1.8.1) Gecko/20061027 Firefox/2.0 (lzyc)
Firefox Windows Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-TW; rv 1.8.1) Gecko/20061010 Firefox/2.0
Opera 9 Opera/9.02 (Windows NT 5.1; U; zh-tw)
IE 7 Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)
IE 6 Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)


沒有留言: