Новый эксплойт вернул к жизни старый баг

Исследователь Google Майкл Залевски вернул к жизни старую уязвимость, которая давала возможность владельцам сайтов получать доступ к истории просмотров своих посетителей. Он объявил об этом спустя почти год после того, как все браузеры выпустили заплатку, закрывающую этот баг в приватности.

Майкл опубликовал демонстрационный код, который срабатывает в большинстве случаев на браузерах Internet Explorer, Google Chrome и Mozilla Firefox, несмотря на то, что производители браузеров заявили, что исправили эту уязвимость таким образом, чтобы нельзя было просматривать адреса сайтов, посещенных пользователем больше месяца назад.

Залевски скромно написал, что его код сырой и не будет работать у большинства читателей. Но, тем не менее, это целостный и производительный метод проверки кэша, размывающий разницу между :visited и другими не настолько интересными техниками.

Предыдущие версии эксплойта использовали встроенный во все браузеры функционал, благодаря которому ссылки на уже посещенные сайты выглядят по-другому. Хакерские атаки были основаны на CSS. О подобной уязвимости стало известно около 10 лет назад. В прошлом году ей воспользовались YouPorn и 45 других сайтов, воруя историю посещений своих пользователей. После этого все браузеры выпустили патчи с исправлениями.

Залевски сказал, что обошел эти исправления «с другой стороны», использовав метод синхронизации кэша. Сам по себе этот способ не является открытием, но раньше считался слишком непрактичным. Залевски доработал его таким образом, что теперь синхронизация работает быстро и незаметно.

Новые темы	Объявления	Свободное общение
06:59 Закрытие Яндекс.XML 21:23 Webvork - международная товарная СРА сеть с сертифицированными офферами на Европу. 12:24 VKAccountsManager — лучший инструмент для продвижения и заработка Вконтакте 16:47 DreamCash.tl - заработок на онлайн-видео. До 95% отчислений, отличный конверт! 15:41 Adtrafico - Правильная партнёрская сеть под бурж трафик 17:33 Profit Pixels - In-House Форекс, Крипто, Трейдинг CPA Офферы \| Еженедельные Выплаты \| CPA до $950 12:34 LOSPOLLOS.COM - Конвертим по рецепту Хайзенберга. Dating, Mainstream, Binary Options	22:01 Coin Click.cc - Быстрый и надежный обмен электронных валют в два клика 21:57 Продажа Apple Developer 21:48 Продажа аккаунтов Google Play Console / Developer 21:38 Продажа аккаунтов Google Play Console 21:17 Обмен криптовалют 20:47 SHARKY - круглосуточный обмен криптовалют 20:26 [eBucks] Автоматический обмен криптовалют. BTC и любые альткоины. Киви, Банковские карты и др. электронные системы.	08:49 Привет, молодежь! 23:29 Точные прогнозы на футбол 13:21 Ксения Гущина — вторая серия? 12:11 С юмором по жизни! 12:06 Наш РКН и ФАС задали тренд 11:57 Курс доллара упал ниже 85 рублей 11:19 В России начали блокировать VPN-подключения

Новые темы

Объявления

Свободное общение

06:59 Закрытие Яндекс.XML
21:23 Webvork - международная товарная СРА сеть с сертифицированными офферами на Европу.
12:24 VKAccountsManager — лучший инструмент для продвижения и заработка Вконтакте
16:47 DreamCash.tl - заработок на онлайн-видео. До 95% отчислений, отличный конверт!
15:41 Adtrafico - Правильная партнёрская сеть под бурж трафик
17:33 Profit Pixels - In-House Форекс, Крипто, Трейдинг CPA Офферы | Еженедельные Выплаты | CPA до $950
12:34 LOSPOLLOS.COM - Конвертим по рецепту Хайзенберга. Dating, Mainstream, Binary Options

22:01 Coin Click.cc - Быстрый и надежный обмен электронных валют в два клика
21:57 Продажа Apple Developer
21:48 Продажа аккаунтов Google Play Console / Developer
21:38 Продажа аккаунтов Google Play Console
21:17 Обмен криптовалют
20:47 SHARKY - круглосуточный обмен криптовалют
20:26 [eBucks] Автоматический обмен криптовалют. BTC и любые альткоины. Киви, Банковские карты и др. электронные системы.

08:49 Привет, молодежь!
23:29 Точные прогнозы на футбол
13:21 Ксения Гущина — вторая серия?
12:11 С юмором по жизни!
12:06 Наш РКН и ФАС задали тренд
11:57 Курс доллара упал ниже 85 рублей
11:19 В России начали блокировать VPN-подключения