Web vidí, k jakým konkurenčním službám je přihlášen jeho návštěvník

Pavel Houser , 07. červen 2011 08:17 5 komentářů

Britský vývojář Mike Cardwell přišel s jednoduchou metodou, pomocí níž lze zjistit, zda je návštěvník určitého webu současně přihlášen k dalším službám (např. Facebook, GMail, Twitter, Digg, ale i řada dalších).

Bezpečnost
Jedna z metod má využívat stavová hlášení vracená mnohými servery, které se liší podle toho, zda je k nim uživatel přihlášen. Do zdrojového kódu webu se vloží JavaScript obsahující odkaz na testovaný web a služba vrátí příslušnou odpověď, nebo naopak chybový kód. Zajímavé je, že popsaná metoda nefunguje pro všechny výše uvedené služby (odolný je GMail) ani pro všechny prohlížeče. Zranitelné - lze-li v tomto případě mluvit o bezpečnostní zranitelnosti - jsou Firefox, Chrome a Safari, naopak tento postup není účinný u Internet Exploreru nebo Opery.

Cardwell ovšem vyvinul ještě další skript, který zvládne i sledování přihlášení ke GMailu. Zde se informace o přihlášení zjistí pomocí skrytého obrázku uloženého ve složce GMailu tak, aby byla viditelná pro všechny uživatele (aktuálně přihlášené ke GMailu). Reportoval toto zjištění Googlu, bylo mu však sděleno, že jde o očekávané chování.

Autor výzkumu se domnívá, že jde také o problém pro vývojáře webů - určité funkce závisejí na tom, kam je návštěvník právě přihlášen. To je vcelku pochopitelné. Pak je zde ovšem přímé bezpečnostní riziko. Dodatečné informace o uživateli zvyšují možnosti krádeže identity a mohou se spojit s dalšími exploity. Navíc, jakkoliv to, že uživatel má účet na GMailu, nebývá obvykle informací nijak tajnou, se zde nabízejí i možnosti pro cílený phishing nebo vydírání (někdo je právě přihlášen k porno serveru, k webu s warezem...).


Komentáře

Náhodný kolemjdoucí #1
Náhodný kolemjdoucí 07. červen 2011 13:42

CO??

Náhodný kolemjdoucí #2
Náhodný kolemjdoucí 07. červen 2011 17:44

Kdo to říkal?, co to bylo?, „osobo, neběžely tudy děti?“.
O on mu ji pak zabalil a usek…

Náhodný kolemjdoucí #3
Náhodný kolemjdoucí 07. červen 2011 21:27

No toto predsa nie je nič nové - sám som si to pred pár mesiacmi vyskúšal: stačilo do stránky vložiť skrytý obrázok s URL https://mail.google.com/mail/pimages/2/up/buzz-icon2.png a udalosť onload => je prihlásený onerror => nie je prihlásený...
Zase raz niekto objavil koleso...

Tex Watson #4
Tex Watson 07. červen 2011 22:35

Ne, pouze je uražena tvá ješitnost, že se o geniálním hackerovi ze Slovenska nepsalo ještě ani na ITBIZ... :)

Bystroushaak #5
Bystroushaak 08. červen 2011 02:12

Ono je fakt, že tento postup je spolu s CSS bugem který umožňuje zjistit navštívené stránky známý už déle než rok.

RSS 

Komentujeme

Bezpečnost IT a tygří logika

Pavel Houser , 14. únor 2017 11:00
Pavel Houser

Jak praví známý vtip, běží-li za vámi tygr, netřeba se pohybovat rychleji než šelma – stačí předběhn...

Více






Kalendář

20. 03.

24. 03.
CeBIT 2017
25. 03. INSPO 2017
28. 04. Oracle Code 2017
RSS 

Zprávičky

Ransomware funguje a generuje útočníkům zisky

Pavel Houser , 23. únor 2017 16:45

Ransomware je stále více centralizovaný a několik významných malwarových rodin dominuje celému "trhu...

Více 0 komentářů

Loni rychle rostl prodej mobilů a chytrých hodinek

ČTK , 23. únor 2017 14:43

Prodej technického spotřebního zboží v Česku loni vzrostl o 2,2 procenta na 74 miliard korun. ...

Více 0 komentářů

KKCG a Foxconn zakládají fond pro investice do IT firem

ČTK , 23. únor 2017 14:33

V první fázi se na zaměří na Česko, Slovensko, Polsko, Rakousko a Německo....

Více 0 komentářů

Starší zprávičky

Náramky pro vězně dodá firma SuperCom za 93 milionů korun

ČTK , 23. únor 2017 10:00

Elektronické monitorovací náramky pro domácí vězně a některé obviněné dodá firma SuperCom. Vítěze so...

Více 1 komentářů

Blokování nelegálního hazardu na internetu není protiústavní

Pavel Houser , 22. únor 2017 13:22

Plénum Ústavního soudu zamítlo návrh skupiny 21 senátorů Senátu Parlamentu České republiky na zruš...

Více 0 komentářů

Amazon otevře v Polsku své páté logistické centrum

ČTK , 22. únor 2017 13:03

Česká pobočka firmy uvedla, že letos nabere v Dobrovízi u Prahy a ve své pražské kanceláři 1000 stál...

Více 0 komentářů

SpaceX a Boeing se možná zpozdí s dopravou lidí na ISS

ČTK , 22. únor 2017 09:30

Společnosti SpaceX a Boeing se možná zpozdí s nasazením svých lodí pro dopravu posádek na Mezinárodn...

Více 0 komentářů