The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Разработчики Firefox закрыли возможность подглядывания через..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Разработчики Firefox закрыли возможность подглядывания через..."  +/
Сообщение от opennews (??) on 31-Мрт-10, 23:23 
Существует достаточно простая и в тоже время серьёзная проблема (http://www.opennet.me/opennews/art.shtml?num=23268) с использованием ссылок и истории посещения во всех существующих веб браузерах. Представим простую ситуацию - вы регулярно посещаете набор сайтов, а затем попадаете на web-страницу злоумышленника, который хочет узнать куда вы заходили. Сделать это очень просто - атакующий помещает незаметно для вас огромный список интересующих его сайтов на свою страницу, а затем, используя атрибуты посещенного сайта (стандартная возможность начиная с первой версии HTML), он легко может вычислить на каких сайтах вы были раньше, потому что все эти ссылки, которые он у себя разместил, будут иметь состояние "посещён", т.е. например поменяют цвет. Пример подобной атаки можно найти на сайте debugtheweb.com (http://www.debugtheweb.com/test/cssvisited.htm). Так, например, используя стандартную функцию JavaScript getComputedStyle(), можно абсолютно незаметно для пользователя проверить сотни тыся...

URL: http://blog.mozilla.com/security/2010/03/31/plugging-the-css.../
Новость: http://www.opennet.me/opennews/art.shtml?num=26038

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Разработчики Firefox закрыли возможность подглядывания через..."  –2 +/
Сообщение от Аноним (??) on 31-Мрт-10, 23:23 
>неотъемлемой частью стандарта HTML

не html, а тогда уж вебдванольного г-на - css и javascript.

>Если вы используете веб браузер Internet Explorer 8, то вы можете прочитать как предлагают решить эту проблему его разработчики.

не судьба просто ссылки не проверять в истории?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Разработчики Firefox закрыли возможность подглядывания через..."  +/
Сообщение от Иван Иванович Иванов on 31-Мрт-10, 23:29 
> не html, а тогда уж вебдванольного г-на - css и javascript.

a:visited был всегда ещё до прихода CSS и назывался VLINK, хотя да, без CSS/JS его не достать.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Разработчики Firefox закрыли возможность подглядывания через..."  +1 +/
Сообщение от Петр (??) on 31-Мрт-10, 23:30 
> не судьба просто ссылки не проверять в истории?

Таки часто хочется видеть на сайте где ты был, а где ещё нет (я не говорю про шлак типа вконтакте/фейсбук, а про сайты насыщенные текстовой информацией).

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

13. "Разработчики Firefox закрыли возможность подглядывания через..."  +/
Сообщение от Below (ok) on 01-Апр-10, 10:19 
"вебдваноль" тут вообще никаким боком (!!!) не при чем!
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Разработчики Firefox закрыли возможность подглядывания через..."  –1 +/
Сообщение от Аноним (??) on 31-Мрт-10, 23:30 
Ура! Осталось ещё закрыть дефолтную возможность показать все сохранённые пароли при физическом доступе к браузеру.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Разработчики Firefox закрыли возможность подглядывания через..."  +/
Сообщение от Иван Иванович Иванов on 31-Мрт-10, 23:31 
>Ура! Осталось ещё закрыть дефолтную возможность показать все сохранённые пароли при физическом
>доступе к браузеру.

master password ставить не пробовали?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Разработчики Firefox закрыли возможность подглядывания через..."  +/
Сообщение от Аноним (??) on 31-Мрт-10, 23:56 
> дефолтную возможность
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Разработчики Firefox закрыли возможность подглядывания через..."  +2 +/
Сообщение от йцукен email(??) on 01-Апр-10, 00:07 
А мастер-пароль не дефолтная разве?
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

15. "Разработчики Firefox закрыли возможность подглядывания через..."  +1 +/
Сообщение от Аноним (??) on 01-Апр-10, 13:01 
> А мастер-пароль не дефолтная разве?

и чему же равен мастер-пароль по дефолту?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

16. "Разработчики Firefox закрыли возможность подглядывания через..."  +/
Сообщение от теоретик on 01-Апр-10, 13:54 
А чему равны остальные пароли по дефолту?
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Разработчики Firefox закрыли возможность подглядывания через..."  +/
Сообщение от аноним on 01-Апр-10, 15:37 
"password"
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

6. "Разработчики Firefox закрыли возможность подглядывания через..."  +/
Сообщение от pavlinux (ok) on 31-Мрт-10, 23:51 
1 Апреля уже начинается!!! Ура товарищи!!!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Разработчики Firefox закрыли возможность подглядывания через..."  +/
Сообщение от birdie on 01-Апр-10, 01:36 
Эта новость - не шутка, вы о чём?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Разработчики Firefox закрыли возможность подглядывания через..."  –2 +/
Сообщение от Аноним (??) on 01-Апр-10, 01:51 
v Chrome by takoe zhe.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Разработчики Firefox закрыли возможность подглядывания через..."  +/
Сообщение от nazgul on 01-Апр-10, 06:25 
Фигнёй какй-то страдают. С ограничением стилей для посещённых ссылок будет
очень удобно гуглить, когда непонятно станет смотрел ты уже выданную ссылку или нет..
ИМХО так лучше поменять функцию getComputedStyle таким образом, чтобы для visited ссылок выдавался стиль дефолтной ссылки (пез псевдокласса visited). Во внешнем виде страницы при этом абсолютно ничего не поменяется, а скриптов, в которых действительно надо различать посещённую и непосещённую ссылку не так и много. Гораздо меньше людей пострадает при таком подходе.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Разработчики Firefox закрыли возможность подглядывания через..."  +/
Сообщение от filosofem (ok) on 01-Апр-10, 09:09 
Фигней какой-то страдает nazgul вместо того чтобы сабж прочитать.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Разработчики Firefox закрыли возможность подглядывания через..."  +/
Сообщение от yerenkow (??) on 01-Апр-10, 10:52 
Простой пример:
непосещенные ссылки - шрифт моноспейс размер 1пкс, посещенные моноспейс 120 пкс.
ссылки по одной фигачатся в скроллабельный див шириной чуть больше чем количество символов.
а потом программно пытаются проскроллить этот див вправо, и узнать позицию скроллинга.
Никакой getComputedStyle не используется, а используются косвенные визаульные изменения.

А теперь вопрос, чем хакеру помешает ваше чудо-предложение переделать ответ от getComputedStyle?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

20. "Разработчики Firefox закрыли возможность подглядывания через..."  +/
Сообщение от Aleksey (??) on 02-Апр-10, 12:43 
Я так понял для внутренних движков все ссылки будут считаться непосещенными. Цвет для ссылок будет меняться в конце, причем к установленному цвету доступа изнутри не будет.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

21. "Разработчики Firefox закрыли возможность подглядывания через..."  +/
Сообщение от Аноним (??) on 02-Апр-10, 13:25 
Так вот "в конце", после всей отрисовки и начнётся жаваскрипт-экплуатирование.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

19. "Разработчики Firefox закрыли возможность подглядывания через..."  +/
Сообщение от Аноним (??) on 02-Апр-10, 12:02 
Одного не понял а как эти данные попадут к злоумышленнику?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Разработчики Firefox закрыли возможность подглядывания через..."  +/
Сообщение от Sergey Kovalyov email on 14-Апр-10, 15:04 
Вы еще не используете белый список для тех, кому разрешено запускать код (JS) на вашей машине?! Тогда мы идем к вам. И будем ходить и ходить. =)
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру