Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Megoldás a CSS history olvasásra?

2010.03.31. 19:21 | buherator | 7 komment

 A Mozilla mai blogbejegyzése szerint nem sokára elérhető lesz egy olyan frissítés a Firefox böngészőhöz, amely megakadályozza a felhasználók böngészési előzményeinek visszanyerését a már meglátogatott linkek eltérő megjelenése alapján. A sokat tárgyalt módszer lényege az, hogy a kíváncsi weboldal generál jó sok linket, és olyan stíluslapot hoz létre, melyen a már meglátogatott linkek tulajdonságai (tipikusan színük) eltér az addig ismeretlenekétől. Ez után az egyes linkek színét lekérdezve megállapítható, hogy a felhasználó mely weboldalakon járt a felsoroltak közül.

A Mozillla több módosítással igyekszik megoldani a problémát (amely egyébként inkább feature mint bug, és nem csak a Firefox-ot érinti): 

  • Először is korlátozták a meglátogatott linkek esetében alkalmazható stílusinformációk halmazát - ezután csak színezést engednek meg.
  • Amennyiben egy JavaScript egy linkelt objektum stílusinformációihoz kíván hozzáférni, mindig a "nem meglátogatott" állapothoz tartozó értéket fogja visszakapni.
  • Emellett úgy módosították a stíluslapok feldolgozását, hogy minden esetben azonos hosszú utasítássorozat hajtódjon végre, így kerülve el az időzítésen alapuló támadásokat.

Ezek a változások persze megváltoztathatják egyes oldalak kinézetét (nesze neked ACID teszt...), de a vállalat a bevezetendő változtatásokat jó kompromisszumnak tartja. Hogy ezt a felhazsnálók is így látják-e, azt az idő majd eldönti.

Címkék: css privacy mozilla

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Pas · http://pasthelod.hell-and-heaven.org 2010.03.31. 19:39:11

Linkelt objektumnál egyszerűen ellenőrizni kéne, hogy azonos-e a domain, elvégre a saját doméneden belül miért ne játszhatnál a júzerekkel? :)

nyos 2010.03.31. 22:23:17

Sajat domain eseten - ha erdekel - ugyis latod a server oldali logbol, vagy az oldalt generalo script is feljegyezheti az infot. Szoval felesleges lenne.

Szerintem szinten jo kompromisszum lenne, ha - akar feluleten, akar az about:config-ban - ki lehetne kapcsolni, hogy megkulonboztesse a mar latogatott es ismeretlen linkeket. Felhasznaloi oldalrol semmi plusz informaciot nem nyujt (lehet, hogy van, akinek igen, de nekem nem, ugyhogy en kikapcsolnam). Sok helyen a CSS-ben ugyis azonos stilust adnak a ketfajta linknek, szoval a keszitok is hasonloan gondolkodnak.

Hunger 2010.04.05. 23:20:38

@PAStheLoD: nem jó az sem, ha az adott domainra engedélyezed, mert a megosztott domaineknél máris bukna a mutatvány. A sites.google.com-ra feltöltött tartalommal ellenőrízni tudnád a mail.google.com-ot, wave.google.com-ot, maps.google.com-ot, stb. A youtube.com-on regisztrálhatsz saját azonosítót és csatornát, amelyeken módosíthatod a kinézetet (pl. saját háttérkép külső címről) és máris ellenőrízheted azzal is a youtube.com látogatását. A myspace.com ugyanígy. Egy akarmi.atw.hu-ra feltöltött oldallal ellenőrízni tudnád az összes atw.hu weboldal látogatását, többi hosting szolgáltatóval ugyanezt ellehetne játszani. Aztán ezeket az oldalakat összefogva, bármelyik oldalba rejtetten beágyazva ugyanúgy gyűjteni tudnád az információkat a látogatott oldalakról...

itschykhatschy · http://www.itschykhatschy.com/ 2010.04.08. 15:13:41

Van még egy pár vicces módszer. Például header móka... post-session-check. Igaz, ez kicsi adatforgalmat generál.

sesz 2011.02.12. 12:49:48

@nyos:
VAN MEGOLDÁS erre! :D A CSS history olvasása többet nem működik.

about:config -ban FALSE-re kell állítani ezt:

layout.css.visited_links_enabled

nyos 2011.02.13. 03:58:59

@sesz: Igy majdnem egy ev multan koszi, kikapcsoltam :)