Критическая уязвимость в браузере Ёpera.

Короче, если на сайте картинка грузится с "плохого" сайта, то опера 12.02 может запросто перенаправить пользователя на тот плохой сайт!

Инфа 100%:
http://habrahabr.ru/post/156315/
http://rutracker.org/forum/viewtopic.php?t=4228361
http://blog.volema.com/opera-svg-xml-sho...IzjVoaQFrQ

[показать]

Пиздец! Браузером Opera временно пользоваться нельзя. Очень легко напороться на сайты мошенников.

Самое интересное, что официальные лица из Оперы сильно преуменьшают проблему.
Веб-сайт полагается на недокументированную обработку тега . Ни в одной спецификации не говорится, что браузер должен делать в подобном случае. Владельцы веб-сайта не проводят контроль ввода данных от недоверенных пользователей. Это - ошибка владельцев веб-сайта. Они не должны полагаться на браузер, ожидая от него применения некоей "песочницы". Они обязаны сами должным образом санировать контент от недоверенных пользователей.

c) Фактически, в данном случае нет никакой уязвимости. (dimasafo: Да ладно?) Даже в случае визуального отсутствия изменений в окне браузера при редиректе, в адресной строке в любом случае будет отображаться фактический адрес (а также наша панель безопасности, встроенная в адресную строку, может предупреждать об опасности). Пользователь может быть обманут, если не обращает внимания на адресную строку (это стандартное условие для любой фишинговой атаки), но таким образом он лишает нас возможности защитить его обычным способом используя антифишинговый фильтр. Это - единственный способ защитить от фишинга. Пользователи, которые не смотрят в адресную строку, всегда будут обманываться мошенниками.

p.s. Короче, пока что придётся от оперы отказаться.

Ссылка на оригинал статьи - Критическая уязвимость в опере