Hacker News Digest

Новая функция http.CrossOriginProtection в Go 1.25 помогает защититься от CSRF, проверяя заголовки Sec-Fetch-Site и Origin. Она блокирует небезопасные запросы (POST, PUT и т.д.) от разных источников. Однако она не защищает от старых браузеров без этих заголовков. Для полной безопасности следует сочетать её с токенами.

• Обсуждение показало, что защита от CSRF через заголовки Origin/Sec-Fetch-Site работает примерно в 95% браузеров, и автор статьи не считает это проблемой.
• Участники обсуждали, что отказ от поддержки старых браузеров — это сознательный выбор, а не упущение, и что в 2025 году оставшиеся 5% в основном представляют собой старые телевизоры, телефоны и прочие устройства, которые не могут быть обновлены.
• Некоторые участники отметили, что даже если бы мы хотели защитить этих пользователей, устаревшие методы вроде проверки Referer или токенов всё ещё не защитят от CSRF, а значит всё равно придётся от них отказаться.
• Была поднята тема, что Rails и другие фреймворки уже давно решили эту проблему, но автор статьи ответил, что не видит в этом необходимости, так как считает, что вся ответственность за безопасность ложится на разработчика, который должен внимательно изучить документацию.

Социальная сеть X требует включения JavaScript для работы, иначе пользователь видит сообщение об ошибке с предложением активировать его или сменить браузер на поддерживаемый. Также упоминается, что расширения для приватности могут мешать функционалу сайта, и их временное отключение может решить проблему.

Внизу страницы приведены ссылки на политики и условия использования, а также контактная информация компании, что подчёркивает юридическую прозрачность платформы. Это стандартный подход для веб-сервисов, зависящих от клиентских скриптов.

• Обсуждается уязвимость в Notion AI, позволяющая через инъекцию в подсказку (prompt injection) выполнить несанкционированные действия и эксфильтрацию данных, используя доступ к инструментам и памяти.
• Участники указывают, что проблема не нова (аналогичные атаки демонстрировались ранее) и связана с фундаментальной проблемой смешения инструкций и данных в LLM, что делает системы уязвимыми при доступе к внешним инструментам.
• Подчеркивается, что многие компании, включая Notion, без должных мер безопасности подключают LLM к критичным данным и сервисам (GitHub, Gmail, Jira), что создает серьезные риски.
• В качестве решений предлагается разделение доверенных и недоверенных данных, строгое ограничение прав LLM на уровне доступа к данным (как для обычного пользователя) и использование специализированных "укрепленных" моделей для агентов.
• Отмечается схожесть атаки с классическим CSRF, где привилегированный субъект обманом совершает unintended действия, и с фишингом из-за использования методов социальной инженерии.

• Суть атаки: порносайты внедряют вредоносный код в файлы .svg, которые при клике заставляют браузер ставить лайк заданным постам в Facebook без ведома пользователя.
• Техника: SVG-файлы содержат скрытый JavaScript, зашифрованный через «JSFuck». После раскодировки загружается цепочка скриптов, завершающаяся трояном Trojan.JS.Likejack, который кликает «Like».
• Условие: пользователь должен быть авторизован в Facebook в этом же браузере.
• Масштаб: десятки сайтов на WordPress используют схему; Facebook блокирует связанные аккаунты.
• История: злоупотребления SVG-файлами фиксировались раньше — эксплойты Roundcube в 2023 г. и фишинг Microsoft в июне 2025 г.

• Вредоносные SVG-файлы на порносайтах заставляют браузер ставить «лайк» на Facebook без ведома пользователя.
• Это работает через обычный CSRF: SVG, загруженный в iframe или открытый в новой вкладке, выполняет JavaScript, который вызывает Facebook-API.
• Если SVG вставлен как картинка (<img src=file.svg>), скрипты не запускаются; уязвимость появляется только при «полном» показе SVG.
• Некоторые считают, что проблема не в SVG, а в отсутствии защиты от CSRF со стороны Facebook.
• Пользователи советуют блокировать JS по умолчанию (NoScript/uBlock), использовать режим инкогнито или отдельные контейнеры для Facebook.