12
2011
Новый эксплойт вернул к жизни старый баг
Автор 
Исследователь компании Google Майкл Залевски возвратил к жизни очень старую уязвимость, дававшую возможность обладателям веб-сайтов получать полный доступ к истории посещений и просмотров собственных посетителей. Он заявил про это спустя практически год после того, как практически все популярные браузеры выпустили специальную заплатку, якобы закрывающую данный баг в приватности.
Майкл опубликовал демо код, который действует почти всегда на браузерах IE, Chrome и Firefox, невзирая на тот факт, что производители современных браузеров объявили, что поправили данную уязвимость таким образом, дабы невозможно было просматривать адреса web-сайтов, посещенных пользователем более месяца назад.
Залевски написал, что его код довольно сырой и вовсе не будет работать у основной массы читателей. Но, и все же, это целостный и производительный способ ревизии кэша, практически полностью размывающий существенную разницу между :visited и прочими не настолько занимательными техниками.
P.S: Этим летом думаю может быть поеду отдыхать в Крым, но еще не определился куда. Может быть даже в солнечногорское. Очень хорошее место кстати, многие советовали. приезжали довольные, что обслуживание на высшем уровне, что цены мизерные.
Прошлые версии эксплойта употребляли интегрированный во все современные браузеры специальный функционал, благодаря которому гиперссылки на уже посещенные веб ресурсы выглядят немного по-другому. Хакерские атаки и кража истории посещений были основаны на технике CSS. О похожей уязвимости было известно еще 10 лет назад. В минувшем году ей пользовались YouPorn и 45 иных веб-сайтов, крадя историю посещений собственных пользователей. После чего все браузеры выпустили патчи с поправками.
Залевски заявил, что обошел данные корректировки «с другой стороны», приняв на вооружение способ синхронизации кэша. Сам по себе данный прием не является открытием, хотя ранее числился очень непрактичным. Залевски подверг доработке его таким образом, что сейчас синхронизация действует быстро и незаметно.
Об авторе: Денис Чуприна
Оставить комментарий
