Čichání historie prohlížeče je stále věcí

• Kategorie: Bezpečnostní

Vyzkoušejte Náš Nástroj Pro Odstranění Problémů

Vyberte Operační Systém Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Vyberte Program Projekce (Volitelně) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Popište Svůj Problém

Získejte Odpověď

Pošlete Mi E -Mailem Zobrazit Na Webu

Výzkumný tým publikoval tým vědců ze Stanfordu a UC San Diego Historie prohlížeče byla znovu navštívena nedávno byly veřejnosti odhaleny čtyři nové a funkční, historie procházení historie čichajícími útoky.

Útoky, které se pokoušejí zjistit, které stránky uživatel navštívil, nejsou nic nového. Například Mozilla, zapojil netěsnost v roce 2010 umožnilo majitelům stránek používat CSS ke kontrole seznamu webů proti historii prohlížení uživatelů pomocí CSS.

Vědci našli útoky, které sahají až do roku 2002, pomocí selektoru: navštívil k určení, zda uživatel na webu dříve navštívil propojený zdroj.

Útoky úniku ovlivňují všechny moderní prohlížeče, které neblokují ukládání historie prohlížení; jinými slovy, Firefox, Chrome, Internet Explorer a Microsoft Edge jsou zranitelné, zatímco Tor Browser není.

Většina webových prohlížečů standardně sleduje navštívené zdroje; Jedná se o pohodlnou funkci, která se peče do prohlížeče. Prohlížeče mohou tyto zdroje navrhnout znovu, když uživatelé zadají do adresního řádku, a uživatelé mohou prohledávat navštívené weby v případě, že je potřebují znovu navštívit, ale už si nemohou přesnou přesnou adresu URL zapamatovat.

První útok, který vědci objevili, používá rozhraní API CSS Paint k určení, zda uživatel navštívil konkrétní adresu URL „vytvořením prvku odkazu, který bude znovu natřen pouze v případě, že je navštívena jeho přidružená adresa URL“ a monitorováním informací o časování k určení, zda proběhla opětná malování.

Druhý útok využívá transformace CSS 3D, což je technika představená u verze CSS 3. Útočník by nashromáždil 3D transformace do jiných stylů CSS, aby vytvořil prvky odkazu a přepnul 'prvek odkazu mezi dvěma různými cílovými adresami URL k identifikaci operací opětného malování.

Třetí útok používá obrázky SVG a pravidlo vyplňování CSS. Útok vloží do prvku odkazu komplexní obrázek SVG a používá k určení navštíveného stavu odkazu „řadu pravidel vyplňování CSS pod: navštívené selektory“.

Čtvrtý a poslední útok používá mezipaměť mezipaměti prohlížeče Chrome k určení, zda byl zdrojový soubor JavaScript dříve načten do prohlížeče, protože tyto soubory jsou sdíleny mezi stránkami různého původu.

Všechny čtyři útoky mají společné to, že je třeba zadat adresy URL ke kontrole; žádný nedokáže načíst celou historii prohlížení uživatele.

Jak účinné jsou tyto útoky? Vědci tvrdí, že jeden z útoků může určit stav 6000 URL za sekundu; stačí zkontrolovat nejoblíbenější weby v historii prohlížení.

Vědci nahlásili problémy vývojářům prohlížečů, ale jejich provedení může trvat měsíce.

Výzkumný příspěvek si můžete přečíst nebo stáhnout ve formátu PDF tady .