Оказва се, че въпреки актуализацииите на сигурността, все още има сигурен начин да се види кои сайтове посещават потребителите, информират от Tech World. Инженерът по сигурността в Google, Michal Zalewski, направи демонстрация на кражба на браузър историята с помощта на синхронизации на cache паметта, която е възможна въпреки последните защити, които са интегрирани в бразузърите.
Кражбата на история е вид атака, която може да покаже какво са посещавали потребителите на уебсайтове на базата на маркирането на линковете, които са отваряни в браузъра. Това е възможно, тъй като по подразбиране, всички бразузъри показват по различен начин линковете, които вече са били посетени, чрез специален маркиращ код в Cascading Style Sheets (CSS) кода на страниците.
Информацията от CSS-базираните кражби на атаки обаче може да се окаже средство за извършването на по-сериозни атаки. Например, ако се събере информация за сайтовете на банки, които даден потребител е посещавал, хакерите може да се свържат с него от името на банката с цел измама.
„В миналото, програмистите ‘осакатиха’ сериозно CSS опциите, за да се ограничат този вид хакерски атаки”, споделя Zalewski. “Сега обаче има има и друг начин за постигане на същата цел.”
За какво става дума? При новия метод се изчислява бързината, с която уеб сайтовете се отварят от браузъра на потребителя, а това показва дали сайтовете са се заредили от cache паметта. Ако е така, то значи този уеб сайт е бил вече посещаван. В миналото, този способ не е бил много актуален, тъй като е по-бавен, прозрачен за потребителя, и на практика е можел да се извърши само веднъж. Днес обаче не е така, и Zalewski е намерил начин да преодолее тези ограничения.
Въпросът сега е дали разработчиците на браузъри ще вземат предвид демонстрацията на Zalewski като предупреждение, за да разследват и други ‘позабравени’ методи за виртуални атаки, тъй като е напълно възможно някои опасни хакерски практики да бъдат възродени.
Discussion about this post