Forum - HAJLO.COMmunity [ forum dyskusyjne, kasa za posty, forum młodzieżowe, forum wielotematyczne ]



Użytkownicy przeglądający ten wątek: 1 gości



Kody błędów HTTP a prywatność internauty
(26-01-2011 23:34) #1

At Kody błędów HTTP a prywatność internauty

Cytat:Oto kod, który po umieszczeniu na stronie internetowej, pozwala jej właścicielowi na sprawdzenie czy odwiedzający go internauta jest zalogowany do Facebooka, Twittera lub GMaila i wielu innych serwisów internetowych. Poniżej wyjaśniamy kolejną metodę na udowodnienie komuś, że znów ogląda pr0n…

Atak groźny czy niegroźny?
Jak pisze Mike Cardwell, internauci mogą mieć gdzieś to, czy ktoś wie, że są zalogowani do Facebooka czy GMaila — ale raczej nie spodoba im się fakt, że strony internetowe mogą sprawdzać czy surfują np. po serwisach pornograficznych…

Kod wykrywający gdzie zalogowany jest użytkownik ma następującą formę:

Cytat:<img style="display:none;"
onload="logged_in_to_gmail()"
onerror="not_logged_in_to_gmail()"
src="https://mail.google.com/mail/photos/static/AD34hIhNx1pdsCxEpo6LavSR8dYSmSi0KTM1pGxAjRio47pofmE9RH7bxPwelO8tlvpX3sbYkNfXT7HD​AZJM_uf5qU2cvDJzlAWxu7-jaBPbDXAjVL8YGpI"
/>

lub

Cytat:<script type="text/javascript"
src="https://twitter.com/account/use_phx?setting=false&format=text"
onload="not_logged_in_to_twitter()"
onerror="logged_in_to_twitter()"
async="async"
></script>

Cytat:<script type="text/javascript"
src="https://www.facebook.com/imike3"
onload="logged_in_to_facebook()"
onerror="not_logged_in_to_facebook()"
async="async"
></script>

Atrybut src w powyższych przykładach odsyła użytkownika do zasobu w wybranym serwisie. Jeśli internauta jest zalogowany do serwisu to zobaczy ten zasób (kod HTTP 200 OK) — jeśli nie jest zalogowany, zostanie przekierowany na stronę logowania a webserwer wyśle inny niż 200 OK kod błędu i w konsekwencji uruchomiona zostanie funkcja ze zdarzenia onerror).
[Obrazek: laptop-privacy.jpg]

W tym przypadku sweterek nie pomoże Twojej prywatności
Przed “złośliwością” zdarzeń onerror można uchronić się stosując rozszerzenia do przeglądarek typu NoScript.

Pozytywna strona tego “naruszenia prywatności”
Mike zauważa, że ten “wyciek informacji” ma też swoje plusy — autorzy stron internetowych mogą wykrywać, czy ktoś jest zalogowany do GMaila i np. w formularzach rejestracyjnych od razu uzupełniać pole e-mail domeną gmail.com…

Ale to już było…
Zanim przez sieć przetoczy się fala artykułów typu “O MUJ BOSZE! ONI WIEDZĄ GDZIE JESTEM ZALOGOWANY!!!111″, wspomnijmy tylko, że podobne “ataki” znane są już od dawna: porównaj nasze artykuły o CSS history hacku z opcją wyliczania unikalności przeglądarki, oraz post Grossmana, którego badania można rozszerzyć o wariant z atakiem czasowym.

Źródło Niebezpiecznik.pl

Jakie są waszym zdaniem + a jakie są - ??
Zapraszam do dyskusji.





Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości

Linki

Copyrights

Tłumaczenie: Polski Support MyBB Silnik MyBB Styl: Darek