Новый эксплойт вернул к жизни старый баг

Исследователь Google Майкл Залевски вернул к жизни старую уязвимость, которая давала возможность владельцам сайтов получать доступ к истории просмотров своих посетителей. Он объявил об этом спустя почти год после того, как все браузеры выпустили заплатку, закрывающую этот баг в приватности.

Майкл опубликовал демонстрационный код, который срабатывает в большинстве случаев на браузерах Internet Explorer, Google Chrome и Mozilla Firefox, несмотря на то, что производители браузеров заявили, что исправили эту уязвимость таким образом, чтобы нельзя было просматривать адреса сайтов, посещенных пользователем больше месяца назад.

Залевски скромно написал, что его код сырой и не будет работать у большинства читателей. Но, тем не менее, это целостный и производительный метод проверки кэша, размывающий разницу между :visited и другими не настолько интересными техниками.

Предыдущие версии эксплойта использовали встроенный во все браузеры функционал, благодаря которому ссылки на уже посещенные сайты выглядят по-другому. Хакерские атаки были основаны на CSS. О подобной уязвимости стало известно около 10 лет назад. В прошлом году ей воспользовались YouPorn и 45 других сайтов, воруя историю посещений своих пользователей. После этого все браузеры выпустили патчи с исправлениями.

Залевски сказал, что обошел эти исправления «с другой стороны», использовав метод синхронизации кэша. Сам по себе этот способ не является открытием, но раньше считался слишком непрактичным. Залевски доработал его таким образом, что теперь синхронизация работает быстро и незаметно.

7 Декабря 2011

Возврат к списку

Новые темы	Объявления	Свободное общение
02:51 АП 21 октября Яндекс выдача \| Законник: Мне кажется Яша тупо отжал у Гугла хороший кусок мобильного трафа 00:06 Кто поможет с ссылками? 22:27 Весёлые случаи в и около БиржеСсылочной темы 22:22 Яндекс.Директ запускает рубрику "Прямая линия", ответит на вопросы о Директе 22:07 Adsense показывает не все баннеры 20:08 Отрубается база данных 19:59 Adsense личный опыт	02:07 Внешнее продвижение сайтов качественно! Быстрое выполнение, на форуме с 2009 года! 22:54 Комплексный прогон по трастовым сайтам, статейное размещение. Рост НЧ-СЧ, Тиц-пр. 21:23 "А что так дешево-то?!" Услуги копирайтинга и рерайтинга по невероятно низким ценам! 21:19 Аккаунт Яндекс Директ+активированный купон на 6 тыс руб 21:13 Три канала Яндекс Дзен продам по 3000 р 21:13 Wallet.dat от Bitcoin Core с балансом 20:53 Продам англоязычный сайт тематики "Подарки"	05:25 스포츠나라 】】±bis５５.com±【【 카지노하는곳 05:23 가상경마 <<<uhb７０７.com>>> 토토하는곳 05:21 (затёр) атакуют!!! 05:21 올레벳 [][]bis77.com[][] 모바일카지노 05:20 리조트월드호텔 ][][uhb７４７。com][][ 모바일카지노 05:15 188벳 /￦/ted46.com/￦/ 바카라사이트 05:13 룰렛하는곳 】】±bis５５.com±【【 인터넷바카라