Skoči na vsebino

Brskalniki razkrivajo zgodovino brskanja

Že od začetka spleta brskalniki prikazujejo že obiskane spletne naslove z drugačno barvo, kot tiste, na katerih še nismo bili. Brskalnik vodi namreč zgodovino brskanja, ki nam tega dostikrat zelo olajša. Z uvedbo CSS stilov (cascading style-sheets) pa je oblikovalec oz. avtor spletne strani dobil še veliko več možnosti za to razlikovanje in je obiskane povezave na strani lahko poljubno oblikoval s pomočjo  atributa visited. Avtorja Artur Janc in Lukasz Olejnik pa sedaj razkrivata, kako je mogoče to funkcionalnost izkoristiti za pregledovanje (oz. bolj testiranje) uporabnikove zgodovine brskanja.

V poenostavljeni obliki se izkoristi ranljivost tako, da za obiskane strani avtor določi neko specifično lastnost (barvo, velikost, …), zraven pa strani doda JavaScript kodo, ki za spletne naslove z vnaprej pripravljenega seznama preveri, ali imajo povezave to lastnost (seznam ni nujno izpisan na spletni strani, lahko ostane skrit).

Testiranje vaše zgodovine brskanja pa je možno tudi, če izklopite JavaScript, saj se lahko izvede samo s CSS stilom (primer vzet iz http://wtikay.com/docs/details.html):

<style>
a#link1:visited { background-image: url(/log?link1_was_visited); }
a#link2:visited { background-image: url(/log?link2_was_visited); }
</style> 
<a href="http://google.com" id="link1">
<a href="http://yahoo.com" id="link2">

V zgornjem primeru vsaka od definiranih povezav sproži poizvedbo nazaj na strežnik in tako lahko upravitelj zabeleži, kdo je navedene naslove že obiskal.

In rešitev? Glede na to, da gre za pomanjkljivost v zasnovi, ne bo enostavna oz. bo temeljila na tem, da se določena funkcionalnost odstrani iz CSS implementacij in JavaScript funkcij.

Povezave:

Preberite tudi

RDP bo zaščiten z zaklepanjem računov

Microsoft uvaja privzeto zaščito z zaklepanjem računov, kar bo otežilo izvedbo vdorov s hitrim preizkušanjem različnih gesel skozi RDP. Ta se ponavadi končajo z izsiljevalskim virusom in šifriranimi podatki.
Več

SI-CERT sodeloval na vaji kibernetske varnosti Cyber Europe 2022

Če bi bile zdravstvene storitve in infrastruktura v Evropi tarča obsežnega kibernetskega napada, kako bi se odzvali in usklajevali ukrepe na nacionalni in evropski ravni, da bi ublažili nastale incidente …
Več

Najave phishing testiranj

Zakaj je pomembno, da izvajalci phishing testiranj le-te predhodno prijavijo na SI-CERT
Več