SKY-net

Британский исследователь Майк Кардуэлл сообщил об обнаружении простого способа сообщения пользователям о том, вошли ли они в Gmail, Facebook,Twitter, Digg и тысячи других сайтов.

Новый метод позволяет сторонним сайтам, которые к вышеуказанным проектам не имеют отношения, информировать пользователей об их сеансах в социальных сетях, почтовых системах и проч.

Созданный метод базируется на использовании статусных кодов, возвращаемых многими сайтами. Эти коды различаются в зависимости от того, входил ли человек на сайт или нет. Встроив в веб-страницу небольшой фрагмент кода JavaScript, содержащего ссылку на один из искомых сайтов, можно сразу же сказать, входил ли пользователь на этот сайт.

Правда, веб-разработчик предупреждает, что данный метод не работает в случае с браузерамиOpera и Internet Explorer.

Сообщается, что эксплоит работает за счет идентификации HTTP-статуса, возвращаемого, когда посетитель отрабатывает скрипт. Если во время обработки сайт, которому дается запрос, к примеру Facebook, дает кодовый ответ A200, то это говорит о об успешном запросе на аутентификацию, и соответственно, что пользователь прежде не входил на сайт. Если же код получается А404, 500 или другой, то это значит, что пользователь ранее здесь уже был.

"Исключить возможность данного эксплоита очень трудно, лишь немногие сайты могут отключить проверку относительности",- пишет Кардуэлл в своем блоге.

www.securitylab.ru

Опубликовано 27.01.2011 13:22 и размещено в рубрике Безопасность. Вы можете следить за комментариями, подписавшись на RSS 2.0 ленту этого сообщения. Комментирование закрыто.

публикации сходной тематики

• YouTube перестанет работать с Internet Explorer 6
• Facebook и Twitter заблокировали учетные записи хактивистов
• YouTube прекращает поддержку IE6
• Twitter пошатнулся под атакой, Facebook устоял
• Facebook отказывается от поддержки Internet Explorer 6