Skoči na vsebino

Brskalniki razkrivajo zgodovino brskanja

Že od začetka spleta brskalniki prikazujejo že obiskane spletne naslove z drugačno barvo, kot tiste, na katerih še nismo bili. Brskalnik vodi namreč zgodovino brskanja, ki nam tega dostikrat zelo olajša. Z uvedbo CSS stilov (cascading style-sheets) pa je oblikovalec oz. avtor spletne strani dobil še veliko več možnosti za to razlikovanje in je obiskane povezave na strani lahko poljubno oblikoval s pomočjo  atributa visited. Avtorja Artur Janc in Lukasz Olejnik pa sedaj razkrivata, kako je mogoče to funkcionalnost izkoristiti za pregledovanje (oz. bolj testiranje) uporabnikove zgodovine brskanja.

V poenostavljeni obliki se izkoristi ranljivost tako, da za obiskane strani avtor določi neko specifično lastnost (barvo, velikost, …), zraven pa strani doda JavaScript kodo, ki za spletne naslove z vnaprej pripravljenega seznama preveri, ali imajo povezave to lastnost (seznam ni nujno izpisan na spletni strani, lahko ostane skrit).

Testiranje vaše zgodovine brskanja pa je možno tudi, če izklopite JavaScript, saj se lahko izvede samo s CSS stilom (primer vzet iz http://wtikay.com/docs/details.html):

<style>
a#link1:visited { background-image: url(/log?link1_was_visited); }
a#link2:visited { background-image: url(/log?link2_was_visited); }
</style> 
<a href="http://google.com" id="link1">
<a href="http://yahoo.com" id="link2">

V zgornjem primeru vsaka od definiranih povezav sproži poizvedbo nazaj na strežnik in tako lahko upravitelj zabeleži, kdo je navedene naslove že obiskal.

In rešitev? Glede na to, da gre za pomanjkljivost v zasnovi, ne bo enostavna oz. bo temeljila na tem, da se določena funkcionalnost odstrani iz CSS implementacij in JavaScript funkcij.

Povezave:

Preberite tudi

Statistika SI-CERT za prvo polovico leta 2025

V prvi polovici leta 2025 smo obravnavali 24 % več primerov, kot v enakem obdobju lani.
Več

SI-CERT išče nove sodelavce

Ponujamo edinstveno priložnost pridobitve specialističnih znanj in praktičnih izkušenj na različnih področjih kibernetske varnosti, ki jih težko dobite drugje.
Več

SI-CERT TZ017 / Analiza nalagalnika HijackLoader

Opis zlonamernega CAPTCHA preverjanja smo objavili v varnostnem obvestilu, ta tehnični zapis pa opisuje analizo in delovanje najpogosteje prenešenega nalagalnika v kombinaciji s tem tipom okužbe - HijackLoader.
Več