Новый эксплойт вернул к жизни старый баг
Новый эксплойт вернул к жизни старый багИсследователь Google Майкл Залевски вернул к жизни старую уязвимость, которая давала возможность владельцам сайтов получать доступ к истории просмотров своих посетителей. Он объявил об этом спустя почти год после того, как все браузеры выпустили заплатку, закрывающую этот баг в приватности.
 
Майкл опубликовал демонстрационный код, который срабатывает в большинстве случаев на браузерах Internet Explorer, Google Chrome и Mozilla Firefox, несмотря на то, что производители браузеров заявили, что исправили эту уязвимость таким образом, чтобы нельзя было просматривать адреса сайтов, посещенных пользователем больше месяца назад.
 
Залевски скромно написал, что его код сырой и не будет работать у большинства читателей. Но, тем не менее, это целостный и производительный метод проверки кэша, размывающий разницу между :visited и другими не настолько интересными техниками.
 
Предыдущие версии эксплойта использовали встроенный во все браузеры функционал, благодаря которому ссылки на уже посещенные сайты выглядят  по-другому. Хакерские атаки были основаны на CSS. О подобной уязвимости стало известно около 10 лет назад. В прошлом году ей воспользовались YouPorn и 45 других сайтов, воруя историю посещений своих пользователей. После этого все браузеры выпустили патчи с исправлениями.
 
Залевски сказал, что обошел эти исправления «с другой стороны», использовав метод синхронизации кэша. Сам по себе этот способ не является открытием, но раньше считался слишком непрактичным. Залевски доработал его таким образом, что теперь синхронизация работает быстро и незаметно.
 

7 Декабря 2011

Возврат к списку



Новые темыОбъявленияСвободное общение
13:17 24 мая 2022 Яндекс выдача 
19:52 Webvork - международная товарная СРА сеть с сертифицированными офферами на Европу. 
15:48 Bropush - твой бро в монетизации сайта push-уведомлениями 
15:19 Adtrafico - Правильная партнёрская сеть под бурж трафик 
14:39 Порекомендуйте оптимизацию для новостного проекта 
11:12 CPA-сеть MyLead - глобальная монетизация трафика! 
09:51 PlayCash - партнерка для заработка на азартном трафике! 
12:48 Антидетект браузер Lalicat для нескольких номер счета вход 
12:19 Качественный прогон Хрумером, Zennoposterом всего 10 WMZ, Большой опыт работы. Статьи, комментарии, профиля, гостевые. 
10:50 Obama.ru - безопасный обмен криптовалют и электронных денежных средств 
10:32 Продам: Спамер ВКонтакте. Spammer VKontakte 
09:58 Ural-obmen.ru — выгодный сервис обмена 
09:03 Продам домен для женского сайта letwoman.com 
15:40 CeshEX - Платформа автоматического обмена 
19:23 Обсуждение о раздаче 30 000 руб. или "первая доза бесплатно" 
18:21 Курс доллара упал ниже 85 рублей 
20:35 Билл Гейтс предсказал пандемию оспы 
19:19 С юмором по жизни! 
19:18 Бета-версия магазина приложений RuStore от VK 
18:51 "Сбер" представил нейросетевые сервисы "Рерайтер" и "Суммаризатор" 
11:39 Стоит ли играть в казино?