Новый эксплойт вернул к жизни старый баг

Исследователь Google Майкл Залевски вернул к жизни старую уязвимость, которая давала возможность владельцам сайтов получать доступ к истории просмотров своих посетителей. Он объявил об этом спустя почти год после того, как все браузеры выпустили заплатку, закрывающую этот баг в приватности.

Майкл опубликовал демонстрационный код, который срабатывает в большинстве случаев на браузерах Internet Explorer, Google Chrome и Mozilla Firefox, несмотря на то, что производители браузеров заявили, что исправили эту уязвимость таким образом, чтобы нельзя было просматривать адреса сайтов, посещенных пользователем больше месяца назад.

Залевски скромно написал, что его код сырой и не будет работать у большинства читателей. Но, тем не менее, это целостный и производительный метод проверки кэша, размывающий разницу между :visited и другими не настолько интересными техниками.

Предыдущие версии эксплойта использовали встроенный во все браузеры функционал, благодаря которому ссылки на уже посещенные сайты выглядят по-другому. Хакерские атаки были основаны на CSS. О подобной уязвимости стало известно около 10 лет назад. В прошлом году ей воспользовались YouPorn и 45 других сайтов, воруя историю посещений своих пользователей. После этого все браузеры выпустили патчи с исправлениями.

Залевски сказал, что обошел эти исправления «с другой стороны», использовав метод синхронизации кэша. Сам по себе этот способ не является открытием, но раньше считался слишком непрактичным. Залевски доработал его таким образом, что теперь синхронизация работает быстро и незаметно.

7 Декабря 2011

Возврат к списку

Новые темы	Объявления	Свободное общение
22:25 СЕОшник за 20000 руб составил мне title, description, keywords. Отлично составил 22:08 18 декабря 2020 Яндекс ИКС \| У вас стал больше? 21:52 Перенос сайта, правильный ли план? 21:52 Как обойти блокировку medium.com и reddit.com 21:51 web-archives и смена имени сайта 21:50 SetLinks выводит средства? 21:50 Сайт был удалён но после восстановил и нет посещаемости вообще!	19:24 Куплю Дзен канал на монете по хорошей цене 18:56 Куплю аккаунт на форуме webmasters.ru 17:48 Антидетект Che browser 16:09 Наполнение товарами магазина на OpenCart, OcStore 15:50 База досок объявлений Украины (85 штук) 2021 год 15:16 Программы для рассылок, накрутки, продвижения и ведения аккаунтов в skype, instagram, vk, ok, avito, lenta.ru 14:00 C1k: обмен Advcash , Perfect Money , skrill , NETELLER, крипта, приват24, тенге	18:39 [b]Webvork [/b]- международная товарная СРА сеть с сертифицированными офферами на Европу. 17:28 Leadgid — международная финансовая партнерская CPA сеть 16:46 Всё же построили коммунизм или что-то там? 14:05 Американская НКО потребовала через суд удалить Telegram из магазина приложений Apple 18:13 Profit Pixels - In-House Форекс, Крипто, Трейдинг CPA Офферы \| Еженедельные Выплаты \| CPA до $950 13:50 Брюса Уиллиса выставили из аптеки без маски 13:19 Продаю крупные аккаунты в Инстаграме (дешево)