Историю посещений сайтов можно украсть.

Историю посещений сайтов можно украсть.

Майкл Залевски (Michal Zalewski), инженер по безопасности и исследователь уязвимостей компании Google, продемонстрировал, что, несмотря на методы защиты, применяемые в браузерах, историю посещений можно украсть.

Получение информации о посещаемых сайтах не только нарушает приватность пользователя, но может использоваться и для более серьезных целей. К примеру, узнав, вебсайт какого банка посещал пользователь, злоумышленник в дальнейшем может замаскироваться под это учреждение.

Получение информации о посещении сайтов основано на том, как быстро отрисовывается определенная страница с целью определения того, была ли она загружена из кэша. Ранее считалось, что использование данной техники хотя и возможно, но непрактично, так как она является медленной, видима пользователю и ее невозможно использовать более одного раза. Однако Майкл Залевски, создав концептуальную страницу, доказал, что атаки, основанные на получении данных из кэша, преодолели эти ограничения.

Вы можете протестировать эту концепцию, перейдя по ссылке и выбрав соответствующий браузер. После окончания работы скрипта, вы можете увидеть, какие веб-сайты из определенного списка посещались вами. Данный подход демонстрирует, что несколько сотен URL могут быть протестированы в течение секунды, не оставляя при этом следов, и повторяемое высокоскоростное сканирование кэша - реальная угроза.

Система Orphus
comments powered by Disqus
 
Top