-
Браузер Safari первым избавился от десятилетней давности бага в истории посещений
Браузер Apple Safari стал первым из популярных веб-обозревателей, освободившимся от одного из самых древних багов в истории Интернета – возможности без особого труда получить полную копию истории посещений.
Эта брешь почти так же стара, как сама Всемирная паутина, однако до сего дня от нее страдали все крупные браузеры. Теперь ситуация изменилась – все релизы Safari, выпускаемые с этого понедельника, более не позволяют владельцам сайтов просматривать историю посещений. Данное нововведение стало одним из 50 улучшений безопасности, внедренных программистами Apple вместе с релизами Safari 4.1 и 5.0.
Согласно результатам проведенного недавно исследования, основанного на данных о 271 тысяче посещений, подавляющее большинство работающих в Интернет людей уязвимо к атаке, позволяющей раскрыть их сетевые предпочтения. При этом, среди пользователей Safari и Chrome процент таких потенциальных жертв был особенно высок.
Утечка истории происходит по вине тех же каскадных стилевых таблиц, которые позволяют браузеру выделять другим цветом посещенные ранее ссылки. Эта же технология помогает веб-мастерам соответствующим образом выстраивать контент.
В апреле компания Mozilla объявила о своем намерении закрыть данную брешь в следующей версии Firefox. И действительно, свежие тестовые сборки Firefox уже избавлены от этого бага, однако актуальная на сегодняшний день финальная версия по-прежнему уязвима. Уязвимыми остаются и Chrome с Internet Explorer.
Впрочем, браузер Google Chrome построен на базе движка, позаимствованного у Safari, поэтому соответствующее обновление для него также не за горами. Единственным крупным браузером, для которого пока не озвучено четких планов по закрытию этой утечки, остается Internet Explorer.
xakep.ru
http://club-symantec.ru/forum.php
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
А опера не браузер?
Где про оперу?
-
-
Сообщение от
SDA
возможности без особого труда получить полную копию истории посещений.
...
Утечка истории происходит по вине тех же каскадных стилевых таблиц, которые позволяют браузеру выделять другим цветом посещенные ранее ссылки.
Тут явное противоречие. Указанная уязвимость не может быть источником полной истории посещений.
-
-
Сообщение от
AndreyKa
Тут явное противоречие. Указанная уязвимость не может быть источником полной истории посещений.
Вот поподробнее http://w2spconf.com/2010/papers/p26.pdf
Добавлено через 30 минут
Коротко, кто не владеет английским:
был представлен алгоритм, способный сканировать до 30 000 ссылок в секунду. С его помощью администраторы ресурсов теперь могут за считанные секунды скрытно собрать огромные объемы данных о посетителях.
Более того, эксперты показали, как веб-мастер может эксплуатировать данную брешь для того, чтобы получить сведения о почтовых кодах, введенных в приложения для прогноза погоды, выявить введенные в Google или Bing поисковые запросы, а также обнаружить, какие именно статьи читали пользователи на Wikileaks или десятках других популярных новостных ресурсов.
Чтобы провести атаку, охотник за информацией должен сопоставить HTTP-код ответа жертвы со списком определенных интернет-адресов, что, по мнению аналитиков, существенно уменьшает эффективность реальных атак. Однако, исследователям удалось преодолеть это препятствие, составив список из 6 417 самых популярных веб-адресов и осуществляя первоначальное сканирование по нему. В ходе повторного сканирования выявляются отдельные страницы на найденных ранее сайтах.
Последний раз редактировалось SDA; 09.06.2010 в 17:56.
Причина: Добавлено
http://club-symantec.ru/forum.php
-
Ответить с цитированием
