Существует достаточно простая и в тоже время серьёзная проблема (http://www.opennet.me/opennews/art.shtml?num=23268) с использованием ссылок и истории посещения во всех существующих веб браузерах. Представим простую ситуацию - вы регулярно посещаете набор сайтов, а затем попадаете на web-страницу злоумышленника, который хочет узнать куда вы заходили. Сделать это очень просто - атакующий помещает незаметно для вас огромный список интересующих его сайтов на свою страницу, а затем, используя атрибуты посещенного сайта (стандартная возможность начиная с первой версии HTML), он легко может вычислить на каких сайтах вы были раньше, потому что все эти ссылки, которые он у себя разместил, будут иметь состояние "посещён", т.е. например поменяют цвет. Пример подобной атаки можно найти на сайте debugtheweb.com (http://www.debugtheweb.com/test/cssvisited.htm). Так, например, используя стандартную функцию JavaScript getComputedStyle(), можно абсолютно незаметно для пользователя проверить сотни тыся...

URL: http://blog.mozilla.com/security/2010/03/31/plugging-the-css.../
Новость: http://www.opennet.me/opennews/art.shtml?num=26038

• Разработчики Firefox закрыли возможность подглядывания через...,Аноним, 23:23 , 31-Мрт-10
  • Разработчики Firefox закрыли возможность подглядывания через...,Иван Иванович Иванов, 23:29 , 31-Мрт-10
  • Разработчики Firefox закрыли возможность подглядывания через...,Петр, 23:30 , 31-Мрт-10
  • Разработчики Firefox закрыли возможность подглядывания через...,Below, 10:19 , 01-Апр-10
• Разработчики Firefox закрыли возможность подглядывания через...,Аноним, 23:30 , 31-Мрт-10
  • Разработчики Firefox закрыли возможность подглядывания через...,Иван Иванович Иванов, 23:31 , 31-Мрт-10
    • Разработчики Firefox закрыли возможность подглядывания через...,Аноним, 23:56 , 31-Мрт-10
      • Разработчики Firefox закрыли возможность подглядывания через...,йцукен, 00:07 , 01-Апр-10
        • Разработчики Firefox закрыли возможность подглядывания через...,Аноним, 13:01 , 01-Апр-10
          • Разработчики Firefox закрыли возможность подглядывания через...,теоретик, 13:54 , 01-Апр-10
            • Разработчики Firefox закрыли возможность подглядывания через...,аноним, 15:37 , 01-Апр-10
• Разработчики Firefox закрыли возможность подглядывания через...,pavlinux, 23:51 , 31-Мрт-10
  • Разработчики Firefox закрыли возможность подглядывания через...,birdie, 01:36 , 01-Апр-10
• Разработчики Firefox закрыли возможность подглядывания через...,Аноним, 01:51 , 01-Апр-10
• Разработчики Firefox закрыли возможность подглядывания через...,nazgul, 06:25 , 01-Апр-10
  • Разработчики Firefox закрыли возможность подглядывания через...,filosofem, 09:09 , 01-Апр-10
  • Разработчики Firefox закрыли возможность подглядывания через...,yerenkow, 10:52 , 01-Апр-10
    • Разработчики Firefox закрыли возможность подглядывания через...,Aleksey, 12:43 , 02-Апр-10
      • Разработчики Firefox закрыли возможность подглядывания через...,Аноним, 13:25 , 02-Апр-10
• Разработчики Firefox закрыли возможность подглядывания через...,Аноним, 12:02 , 02-Апр-10
  • Разработчики Firefox закрыли возможность подглядывания через...,Sergey Kovalyov, 15:04 , 14-Апр-10

>неотъемлемой частью стандарта HTML

не html, а тогда уж вебдванольного г-на - css и javascript.

>Если вы используете веб браузер Internet Explorer 8, то вы можете прочитать как предлагают решить эту проблему его разработчики.

не судьба просто ссылки не проверять в истории?

> не html, а тогда уж вебдванольного г-на - css и javascript.

a:visited был всегда ещё до прихода CSS и назывался VLINK, хотя да, без CSS/JS его не достать.

> не судьба просто ссылки не проверять в истории?

Таки часто хочется видеть на сайте где ты был, а где ещё нет (я не говорю про шлак типа вконтакте/фейсбук, а про сайты насыщенные текстовой информацией).

"вебдваноль" тут вообще никаким боком (!!!) не при чем!

Ура! Осталось ещё закрыть дефолтную возможность показать все сохранённые пароли при физическом доступе к браузеру.

>Ура! Осталось ещё закрыть дефолтную возможность показать все сохранённые пароли при физическом
>доступе к браузеру.

master password ставить не пробовали?

> дефолтную возможность

А мастер-пароль не дефолтная разве?

> А мастер-пароль не дефолтная разве?

и чему же равен мастер-пароль по дефолту?

А чему равны остальные пароли по дефолту?

"password"

1 Апреля уже начинается!!! Ура товарищи!!!

Эта новость - не шутка, вы о чём?

v Chrome by takoe zhe.

Фигнёй какй-то страдают. С ограничением стилей для посещённых ссылок будет
очень удобно гуглить, когда непонятно станет смотрел ты уже выданную ссылку или нет..
ИМХО так лучше поменять функцию getComputedStyle таким образом, чтобы для visited ссылок выдавался стиль дефолтной ссылки (пез псевдокласса visited). Во внешнем виде страницы при этом абсолютно ничего не поменяется, а скриптов, в которых действительно надо различать посещённую и непосещённую ссылку не так и много. Гораздо меньше людей пострадает при таком подходе.

Фигней какой-то страдает nazgul вместо того чтобы сабж прочитать.

Простой пример:
непосещенные ссылки - шрифт моноспейс размер 1пкс, посещенные моноспейс 120 пкс.
ссылки по одной фигачатся в скроллабельный див шириной чуть больше чем количество символов.
а потом программно пытаются проскроллить этот див вправо, и узнать позицию скроллинга.
Никакой getComputedStyle не используется, а используются косвенные визаульные изменения.

А теперь вопрос, чем хакеру помешает ваше чудо-предложение переделать ответ от getComputedStyle?

Я так понял для внутренних движков все ссылки будут считаться непосещенными. Цвет для ссылок будет меняться в конце, причем к установленному цвету доступа изнутри не будет.

Так вот "в конце", после всей отрисовки и начнётся жаваскрипт-экплуатирование.

Одного не понял а как эти данные попадут к злоумышленнику?

Вы еще не используете белый список для тех, кому разрешено запускать код (JS) на вашей машине?! Тогда мы идем к вам. И будем ходить и ходить. =)