На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2000-4-21 на главную / новости от 2000-4-21
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 21 апреля 2000 г.

Простой прием позволяет выуживать конфиденциальные данные из браузера

Просчет, обнаруженный в Netscape Navigator 4.x, позволяет веб-мастерам видеть закладки или кэш-файл пользователей; возможно, что аналогичная лазейка есть и в Microsoft Internet Explorer.

Фокус делается при помощи cookies, которые запускают на компьютере пользователя программу JavaScript. Веб-мастер может переадресовать пользователя на страницу с фреймами, один из которых указывает на файл cookie, а другой — на ту страницу, которую хочет прочесть веб-мастер. Это позволяет недобросовестным операторам сайта обходить протоколы защиты, мешающие им читать файл.

Веб-мастер Peacefire.org Беннетт Хейсилтон (Bennett Haselton), сообщивший о проблеме, считает, что это не ошибка браузера, а недостаток кода, которым можно воспользоваться. «В браузере все работает правильно, — говорит он. — Трюк срабатывает именно потому, что каждый элемент делает свое дело».

Этот прием не позволяет кому-либо несанкционированно запускать программы на компьютере пользователя, но с его помощью можно читать данные, которые пользователь хотел бы сохранить в тайне. Правда, его можно проделать лишь в том случае, если в настройках браузера разрешены JavaScript и cookies, а имя profile оставлено в значении по умолчанию. Если оно изменено, а веб-мастер не знает нового имени пользователя, ничего не выйдет.

Хейсилтон не проверял эту возможность на других браузерах, но думает, что ее можно реализовать и на Internet Explorer — как и на других операционных системах. «Прием можно легко модифицировать для IE или Netscape под Mac или Unix, — говорит он. — Он не опирается на какие-то ошибки и может быть перенесен на другую платформу».

Где купить: продукты Microsoft

 В продолжение темы:
2001-11-14   Европейский парламент сажает рекламщиков на диету
Обсуждение и комментарии
Vova - vovasidorhotmail.com
21 Apr 2000 7:30 PM
Это как же не ошибка броузера? Все работает как и должно работать... Значит не должно!
 

Владимир
21 Apr 2000 10:00 PM
2Vova: А ты можешь предусмотреть ВСЕ варианты и комбинации стандартных средств. Там же ясно написано: каждый компонент работает правильно... Ты еще скажи, что если детонатор вкрутить в мину, то эта конструкция не должна взываться ;-)

Только вот что делать-то в плане защиты? Например, у меня сейчас NN4.X... а profile действительно default :( Надо переделать на всякий пожарный...
 

Bishop
22 Apr 2000 7:40 PM
Нет ну как вам фраза: "Фокус делается при помощи cookies, которые запускают на компьютере пользователя программу JavaScript."

Договорились. Cookies уже стали что-то запускать. Может, они и на машинке вышивать умеют?
 

Richard - tracttdd.lt
24 Apr 2000 6:25 AM
Da, zdes vokrug vse da okolo...
Nikakoi konkretnosti.
Mozhet byt vse eto -
prostaja chepuha...
Programmiroval ja na JavaScript,
no ne ochen to predstavliaju,
kak eto mozhno tam cherez cookies
che nit prochitat...

Objasnite pozhaluisto ?

 

Pippo Gans
24 Apr 2000 10:03 AM
Идеальному ПО - НЕТ! Сколько помню себя, столько дырки находятся то там, то тут. Пришла в голову мысль (может утопия). Еслибы не было воров, хакеров и все были бы честные, об таких приколах даже речь не шла бы. Но увы, 40% мозговых ресурсов тратится на защиту, заплаты и т.п. От блин зараза....
 

Alexander
24 Apr 2000 10:23 AM
Как-то странно, что человек этот трюк даже не попробовал на другом броузере... Если это не ошибка NN, то код должен быть похожим и под IE...

Как можно с уверенностью говорить, что такая же ошибка есть и на других броузерах, платформах?
 

Richard
24 Apr 2000 1:09 PM
Alexander, ty prav.
Eto ochen dazhe starnno, chto etot chuvak
na drugih browserah neproboval.
Uzh slishkom vse eto neset na utku.

Pippo Gans: neputai hakerov s krakerami.
Vlamyvajutsa krakery, a hakery -
eto prosto fanaty ot programming.
A voobshche to - zashchita ochen bolshaja
problemma. I dyrki v zashchite byvajut
v takih neozhidannyh mestah, chto strashno
podumat. A krakeram glavnoe - eto dazhe ne
vlomitsa, im glavnoe - napakastit :-(

Vot, naprimer shtuchka: sdelal ja odnazhdy
sait takoi, s chatom nebolshim
(~1500 poseshchenij v den).
Na chat vremeni ushlo nemnogo - denek primerno.
No na vsiakije tam peredelki protiv vsiakih
fluderof i drugih idijotov uzhe zatratil
dvuh nedel svoego vremeni... I vse ravno
ne vse eshche dodelano :-(
Eti suki sdelali na webe dazhe sait pro to,
kak mozhno napakastit na moem chate :-(((
Vot tak vot i poluchaetsa, chto dazhe ne 40,
a 95 procentov raboty zatrachivaetsa na
zashchitu :-(((

 

Bravo - bravomailuoe.com
24 Apr 2000 1:29 PM
Читайте hackzone.ru. Там все есть.
 

BOLK
24 Apr 2000 1:55 PM
Ну, ребята, не стыдно? На Hackzone эта "новость" появилась полгода назад. А фраза про cookie, запускающие JavaScript - это сильно. :( Два с минусом!
 

 

← март 2000 17  18  19  20  21  24  25  26  27 май 2000 →
Реклама!
 

 

Место для Вашей рекламы!