Представление браузера - другим браузером

[Kuzz]

И как оно спасет от:

Код:

try {
attak_1();
} catch (err) {};

try {
attak_2();
} catch (err) {};
и т.д.

или:
iframe.html ->
-> /attak_1.html
-> /attak_2.html
...

[rdog]

И как оно спасет от:

Код:

try {
attak_1();
} catch (err) {};

try {
attak_2();
} catch (err) {};
и т.д.

или:
iframe.html ->
-> /attak_1.html
-> /attak_2.html
...

для этого нужен javascript ?-CSRF? можно подробнее?
спасибо.

[Kuzz]

try {

Да, это псевдокот JS
Он может быть размещен на самом "поломаном" сайте, так что NoScript его разрешит. Особенно если сайт без JS неф-ционален

Для iframe+html все зависит от содержимого тех самых html-ин. Есть эксплоиты, не использующие JS. Напр. переполнение буфера при парсинге gif-ок

[rdog]

Kuzz-спасибо.+небольшое уточнение- применимо под win, исполнение JS должно быть разрешено в браузере, gif-подгрузка doc файла с довеском (установ. по умолчанию ,,открывать в-Microsoft Office,,)- правильно?

[rdog]

возможные дыры?

[Kuzz]

применимо под win

Сейчас - да, так как другими системами пока что "не заморачиваются". В будущем все может измениться.

исполнение JS должно быть разрешено в браузере,

Для эксплоитов, построенных на JS.

gif-подгрузка doc файла с довеском (установ. по умолчанию ,,открывать в-Microsoft Office,,)- правильно?

gif и *.doc - лишь примеры. Все то, что автоматически (без запросов) обрабатывается браузером может быть использовано.
Скажем, если найдут очередную дыру при парсинге html - ничего не спасет

[NRA]

Когда-то попадались платные предложения менять "на лету" все реквизиты (IP /через цепочку highanonymity proxy/, версии ОС, типа браузера. локали и т.д.) Было интересно, но здравый смысл восторжествовал...

Уже довольно давно и довольно успешно использую песочницу SandBoxIE для любого браузера и всех неизвестных/подозрительных програм. Самое худшее что было - это закрытие браузера. Не знаю как дальне, но пока при нормальных настройках виртуалки это оптимальные вариант решения.

"Сьешь эту таблетку - и ничего не было. Это матрица"

[rdog]

Когда-то попадались платные предложения менять "на лету" все реквизиты (IP /через цепочку highanonymity proxy/, версии ОС, типа браузера. локали и т.д.) Было интересно, но здравый смысл восторжествовал...
"Сьешь эту таблетку - и ничего не было. Это матрица"

,,платные предложения ,,-а зачем? когда есть отлично работающие free врианты.
tor+vidalia+torbutton(IP, версии ОС, типа браузера.) Если не заморачиваться с сменой ip и ОС ? то обычный User Agent (https://addons.mozilla.org/ru/firefox/addon/59/) справляется отлично.