Closed KOLANICH closed 6 years ago
The-OP
commented
6 years ago Я посмотрел, но что-то не понял, в чем суть. Типа селектор moz-document не должен работать в обычных не добавленных через спец-API стилях? Так это в Мозиллу надо писать, а не сюда.
KOLANICH
commented
6 years ago KOLANICH
commented
6 years ago Я сам не знаю, в рамках какого исследования это взялось и что этим хотел сказать автор: ссылка не гуглится. Просто у меня в подписках проскочило. Работоспособность не проверял. Но возможно, что это может использоваться для таргетинга эксплоитов. То есть допустим кто-то подключил стиль из cdn, а в коде может быть стиль, определяющий сайт, и в зависимости от сайта подгружающий шрифт с эксплоитом. Но это гипотеза, я её не проверял.
The-OP
commented
6 years ago Ну там написано, что это для того чтобы тырить какие-нибудь токены из query string, но я не понял, как это должно работать. Сайтов, которые бы позволяли юзерам загружать свои CSS я что-то не могу с ходу припомнить. Мозилла вроде этого и опасается - но как-то слабо, аж 4 года висел баг.
А зачем подгружать эксплоит в зависимости от сайта? Лучше же наоборот - впарить его как можно более широкой аудитории, пока не починили.
И самое главное - чего от меня-то требуется? Преф они вроде сами выставить собираются.
KOLANICH
commented
6 years ago ничего.
https://github.com/wybiral/css-exploit