https://www.opennet.dev/openforum/vsluhforumID3/65415.html Существует достаточно простая и в тоже время серьёзная проблема (http://www.opennet.ru/opennews/art.shtml?num=23268) с использованием ссылок и истории посещения во всех существующих веб браузерах. Представим простую ситуацию - вы регулярно посещаете набор сайтов, а затем попадаете на web-страницу злоумышленника, который хочет узнать куда вы заходили. Сделать это очень просто - атакующий помещает незаметно для вас огромный список интересующих его сайтов на свою страницу, а затем, используя атрибуты посещенного сайта (стандартная возможность начиная с первой версии HTML), он легко может вычислить на каких сайтах вы были раньше, потому что все эти ссылки, которые он у себя разместил, будут иметь состояние "посещён", т.е. например поменяют цвет. Пример подобной атаки можно найти на сайте debugtheweb.com (http://www.debugtheweb.com/test/cssvisited.htm). Так, например, используя стандартную функцию JavaScript getComputedStyle(), можно абсолютно незаметно для пользователя проверить сотни тыся...<br><br>URL: http://blog.mo https://www.opennet.dev/openforum/vsluhforumID3/65415.html#22 Wed, 14 Apr 2010 11:04:34 GMT Вы еще не используете белый список для тех, кому разрешено запускать код (JS) на вашей машине?! Тогда мы идем к вам. И будем ходить и ходить. =)<br> https://www.opennet.dev/openforum/vsluhforumID3/65415.html#21 Fri, 02 Apr 2010 09:25:00 GMT Так вот "в конце", после всей отрисовки и начнётся жаваскрипт-экплуатирование.<br> https://www.opennet.dev/openforum/vsluhforumID3/65415.html#20 Fri, 02 Apr 2010 08:43:26 GMT Я так понял для внутренних движков все ссылки будут считаться непосещенными. Цвет для ссылок будет меняться в конце, причем к установленному цвету доступа изнутри не будет.<br> https://www.opennet.dev/openforum/vsluhforumID3/65415.html#19 Fri, 02 Apr 2010 08:02:26 GMT Одного не понял а как эти данные попадут к злоумышленнику?<br> https://www.opennet.dev/openforum/vsluhforumID3/65415.html#17 Thu, 01 Apr 2010 11:37:33 GMT "password"<br> https://www.opennet.dev/openforum/vsluhforumID3/65415.html#16 Thu, 01 Apr 2010 09:54:41 GMT А чему равны остальные пароли по дефолту?<br> https://www.opennet.dev/openforum/vsluhforumID3/65415.html#15 Thu, 01 Apr 2010 09:01:02 GMT &gt; А мастер-пароль не дефолтная разве?<br><br>и чему же равен мастер-пароль по дефолту? <br> https://www.opennet.dev/openforum/vsluhforumID3/65415.html#14 Thu, 01 Apr 2010 06:52:57 GMT Простой пример:<br>непосещенные ссылки - шрифт моноспейс размер 1пкс, посещенные моноспейс 120 пкс.<br>ссылки по одной фигачатся в скроллабельный див шириной чуть больше чем количество символов.<br>а потом программно пытаются проскроллить этот див вправо, и узнать позицию скроллинга.<br>Никакой getComputedStyle не используется, а используются косвенные визаульные изменения.<br><br>А теперь вопрос, чем хакеру помешает ваше чудо-предложение переделать ответ от getComputedStyle?<br> https://www.opennet.dev/openforum/vsluhforumID3/65415.html#13 Thu, 01 Apr 2010 06:19:55 GMT "вебдваноль" тут вообще никаким боком (!!!) не при чем!<br>