|
На 11 ноември, български хакер под името "Keeper" докладва на Google за постоянен (persistent) XSS (крос-сайт скриптинг) уязвимост в страница, част от главния домейн на интернет гиганта. На втория ден от екипа на Google върнали писмо в отговор на доклада. В него, те посочили, че дупката не се квалифицира като потенциално опасна и не представлява никаква опасност за сигурността, твърдейки, че се намира на изолиран хост под сандбокс филтрация. Официалното писмо от екипа гласи:
Цитат:
Hi,
Thanks for your message! The domain in which the uploaded gadget is hosted - *.googleusercontent.com - is specifically meant as a compartmentalized "sandbox" for various types of potentially unsafe, user-controlled content.
This domain is isolated from any sensitive content due to the same-origin policy.
If you see any way in which this causes problems for other Google services, please let us know.
You can read more about bugs that qualify for a reward here:  |
