Все новости от 12 мая 2000 г.

Охотники на клопов нашли cookie-лазейку в Internet Explorer

Сообщение о новой дыре в Internet Explorer было опубликовано в четверг на веб-сайте Peacefire.org Беннетом Хейселтоном (Bennett Haselton) и Джейми Маккарти (Jamie McCarthy). Хейселтон, который основал Peacefire как молодежную группу, протестующую против цензуры, впоследствии занялся поиском способов обмана ПО, блокирующего контент. Затем он выявил целый ряд уязвимых мест в интернет-ПО, включая почтовую систему Hotmail и браузеры Netscape и Microsoft.

Лазейка связана со способом обработки адресов URL браузером Internet Explorer. Когда пользователь устанавливает соединение с веб-сайтом, браузер по указанному в поле URL адресу определяет, нужно ли обращаться к какому-либо cookie-файлу (эти файлы содержат информацию о параметрах доступа или даже пароли ранее посещаемых веб-сайтов). Хейселтон написал программу на JavaScript, которая демонстрирует, как можно обмануть Internet Explorer, заставив его вместо чтения информации из определенного cookie-файла отправлять этот файл на сервер Peacefire.org. Эта программа заменяет слэши и знак вопроса в длинной строке URL альтернативной цепочкой символов, которые интерпретируются таким образом, что браузер соединяется с сайтом Peacefire, но при этом открывает cookie-файл другого сайта. Чтобы запустить эту программу, пользователя нужно заставить кликнуть на кнопке или линке.

Хейселтон признает, что cookie-файлы обычно не содержат важной для пользователя информации, такой как номер кредитной карты. Однако некоторые сайты бесплатной электронной почты, в частности Hotmail и Yahoo!, используют эти файлы для аутентификации пользователей, которые уже посещали данный сайт. На сайтах электронной коммерции с помощью cookie-файлов отслеживается содержимое корзины с покупками. Например, в cookie Amazon.com может содержаться информация о том, что любит читать данный посетитель, хотя реальные покупки хранятся в другом месте. Когда пользователь уходит с сайта, cookie-файл очищается. В принципе злоумышленник может собрать информацию из cookie-файлов таких сайтов, как NYTimes.com, расшифровать информацию об именах пользователей и паролях, а затем попытаться использовать их на других веб-сайтах. Однако пока признаков того, что этот метод применялся на самом деле, нет.

Метод действует в Internet Explorer for Windows 95, 98 и NT, но не работает в версиях браузера для Macintosh и Unix. В Microsoft признали наличие проблемы, но сказали, что ее последствий можно избежать. «Microsoft стремится защищать информацию пользователей, — говорится в заявлении компании, — и мы работаем над поправкой, которая исключит пробел в защите, связанный с обработкой cookie-файлов браузером Internet Explorer. Мы надеемся предоставить эту поправку в ближайшее время. На странице www.microsoft.com/technet/security/default.asp будет опубликован бюллетень с разъяснением этой проблемы и рекомендациями по получению и установке поправки». Компания отмечает, что «те, кто пользуется функцией IE Security Zones для запрета применения активных скриптов на непроверенных сайтах, не попадутся на эту уловку».

Хейселтон и Маккарти советуют пользователям Internet Explorer вообще запретить JavaScript до выхода поправки.

Где купить: продукты Microsoft

Обсуждение и комментарии

	Фдучун 12 May 2000 6:27 PM
Ну и что такого?
	Хрен Редькин 15 May 2000 2:12 PM
Представляет чисто теоретический интерес, тем более, что "кукис" надо убирать - это элементарно..
	Bishop 15 May 2000 2:23 PM
Кукис НЕ надо убирать - это элементарно. Запарили деятели, которые пропагандируют борьбу с кукисами. Позвольте господа, а как тогда будут работать многие веб-магазины и т.д. и т.п.? Многие из них используют сессионные кукисы (для корзины, например). Просто не недо шляться по сомнительным местам. Можно привести аналогию с реальной жизнью: как насчет пройтись по темным улочкам района с плохой репутацией? Так и в сети. А насчет "дыры", так у меня не возникает никаких сомнений, что Майкрософт скоро выпустит заплату.
	waspider - waspiderchat.ru 15 May 2000 6:55 PM
Да не надо нигде особо шляться. Какой-нибудь гад повесит вполне благовидный баннер (вроде ссылки на анекдот.ру) на свою вполне пристойную страничку (типа гостевой книги) и дело в шляпе.