Katsuro
21.05.2010, 13:45
Подавляющее большинство интернет-пользователей уязвимо к атакам, позволяющим извлечь из их браузеров детализированную информацию о предпочтениях в Сети, включая прочитанные материалы и данные о почтовых кодах, введенные в онлайн-формы.
Согласно статистике, собранной по результатам 271 000 посещений сайта, название которого переводится, как “Что Интернет знает о тебе”, у 76% пользователей история посещения браузеров пригодна для изучения третьими лицами. Среди пользователей Apple Safari и Google Chrome эта цифра еще выше, но что самое удивительное, она больше и среди тех, кто отключил JavaScript.
Несмотря на то, что уязвимость, позволяющая сайтам просматривать историю браузеров, была раскрыта еще десять лет назад, в этот четверг команда исследователей опубликовала несколько новых способов ее использования, позволяющих существенно увеличить эффективность атаки. Среди прочего был представлен алгоритм, способный сканировать до 30 000 ссылок в секунду. С его помощью администраторы ресурсов теперь могут за считанные секунды скрытно собрать огромные объемы данных о посетителях.
Более того, эксперты показали, как веб-мастер может эксплуатировать данную брешь для того, чтобы получить сведения о почтовых кодах, введенных в приложения для прогноза погоды, выявить введенные в Google или Bing поисковые запросы, а также обнаружить, какие именно статьи читали пользователи на Wikileaks или десятках других популярных новостных ресурсов.
Чтобы провести атаку, охотник за информацией должен сопоставить HTTP-код ответа жертвы со списком определенных интернет-адресов, что, по мнению аналитиков, существенно уменьшает эффективность реальных атак. Однако, исследователям удалось преодолеть это препятствие, составив список из 6 417 самых популярных веб-адресов и осуществляя первоначальное сканирование по нему. В ходе повторного сканирования выявляются отдельные страницы на найденных ранее сайтах.
21.05.2010
http://www.xakep.ru/post/52157/
Согласно статистике, собранной по результатам 271 000 посещений сайта, название которого переводится, как “Что Интернет знает о тебе”, у 76% пользователей история посещения браузеров пригодна для изучения третьими лицами. Среди пользователей Apple Safari и Google Chrome эта цифра еще выше, но что самое удивительное, она больше и среди тех, кто отключил JavaScript.
Несмотря на то, что уязвимость, позволяющая сайтам просматривать историю браузеров, была раскрыта еще десять лет назад, в этот четверг команда исследователей опубликовала несколько новых способов ее использования, позволяющих существенно увеличить эффективность атаки. Среди прочего был представлен алгоритм, способный сканировать до 30 000 ссылок в секунду. С его помощью администраторы ресурсов теперь могут за считанные секунды скрытно собрать огромные объемы данных о посетителях.
Более того, эксперты показали, как веб-мастер может эксплуатировать данную брешь для того, чтобы получить сведения о почтовых кодах, введенных в приложения для прогноза погоды, выявить введенные в Google или Bing поисковые запросы, а также обнаружить, какие именно статьи читали пользователи на Wikileaks или десятках других популярных новостных ресурсов.
Чтобы провести атаку, охотник за информацией должен сопоставить HTTP-код ответа жертвы со списком определенных интернет-адресов, что, по мнению аналитиков, существенно уменьшает эффективность реальных атак. Однако, исследователям удалось преодолеть это препятствие, составив список из 6 417 самых популярных веб-адресов и осуществляя первоначальное сканирование по нему. В ходе повторного сканирования выявляются отдельные страницы на найденных ранее сайтах.
21.05.2010
http://www.xakep.ru/post/52157/