Новый эксплойт вернул к жизни старый баг

Исследователь Google Майкл Залевски вернул к жизни старую уязвимость, которая давала возможность владельцам сайтов получать доступ к истории просмотров своих посетителей. Он объявил об этом спустя почти год после того, как все браузеры выпустили заплатку, закрывающую этот баг в приватности.

Майкл опубликовал демонстрационный код, который срабатывает в большинстве случаев на браузерах Internet Explorer, Google Chrome и Mozilla Firefox, несмотря на то, что производители браузеров заявили, что исправили эту уязвимость таким образом, чтобы нельзя было просматривать адреса сайтов, посещенных пользователем больше месяца назад.

Залевски скромно написал, что его код сырой и не будет работать у большинства читателей. Но, тем не менее, это целостный и производительный метод проверки кэша, размывающий разницу между :visited и другими не настолько интересными техниками.

Предыдущие версии эксплойта использовали встроенный во все браузеры функционал, благодаря которому ссылки на уже посещенные сайты выглядят по-другому. Хакерские атаки были основаны на CSS. О подобной уязвимости стало известно около 10 лет назад. В прошлом году ей воспользовались YouPorn и 45 других сайтов, воруя историю посещений своих пользователей. После этого все браузеры выпустили патчи с исправлениями.

Залевски сказал, что обошел эти исправления «с другой стороны», использовав метод синхронизации кэша. Сам по себе этот способ не является открытием, но раньше считался слишком непрактичным. Залевски доработал его таким образом, что теперь синхронизация работает быстро и незаметно.

7 Декабря 2011

Возврат к списку

Новые темы	Объявления	Свободное общение
20:57 21 ноября 2019 Яндекс выдача \| 20:52 Помогите настроить сайт 20:01 Помогите выявить вирус. 19:01 Edu-Cash.com - ПП под бурж студенческий траф, до 75% за первые, до 35% за ребиллы, до 10% реферальных. 17:59 TeaserNet - тизерная сеть нового поколения! Высокие доходы, стабильные выплаты 16:58 Нет посетителей 15:39 Adsense личный опыт	22:04 Продам аккаунты AdSense. 21:21 Core Seo Pro - получите на свой сайт тонны трафика от google 2019 21:07 Услуги парсинга, заказать парсинг сайта и магазинов 20:53 DLE-Parser.ru - скачивание шаблонов с DLE (DataLife Engine) сайтов 19:53 Сайт для продаж Рынок РФ 17:52 Прогон по личной базе, больше 1000 трастовых сайтов! Продвижение СЧ и НЧ запросов + рост показателей! Гарантии! 17:45 Profit-smm.ru - раскрутка в Vk/Inst/Yt/Tg. Подписчики от 17.9р, лайки от 7р за сотню.	21:12 Вопрос про криптообменник, очень важно мнение каждого. 16:39 Бесплатно за отзыв можем сделать 1 услугу в соц сетях 15:59 Продам свой пустой блог в ЖЖ. ТИЦ 0 \ PR 0 15:21 RXbux - новая европейская фарма партнёрка. Комиссия до 45% за ордер! 15:10 Самый современный в мире, новейший веб-каталог \| Цифровая сторона вашего сайта 13:44 Рекламная CPA сеть PUSH.SHOW - прямая монетизация вашего трафика для вебмастера и арбитражника 07:00 Партнерская программа №1 в РФ по ремонту компьютерной и бытовой техники! (CPA 1000р)