Skip to main content.
Январь 25th, 2011

Пользователям почтовых сервисов и социальных сетей снова угрожают

Британский разработчик Майк Кардуэлл объявил, что нашел простой способ, чтобы сообщить пользователям о том, что они вошли в Twitter, Facebook, Digg, Gmail и тысячи других сайтов. Эта новая методика позволяет другим сайтам, которые не имеют отношения к вышеуказанным проектам, информировать посетителей об их сеансах в почтовых системах, в социальных сетях и других.

Созданный метод основан на использовании статусных кодов, которые возвращают многие сайты. Встроив в веб-страницу фрагмент кода JavaScript, который содержит ссылку на необходимый сайт, можно увидеть, посещал ли его пользователь.

Веб-разработчик предупреждает, что эта система не работает с браузерами Internet Explorer и Opera.

Сообщается, что эксплоит может работать за счет распознавания HTTP-статуса, который возвращается, когда пользователь отрабатывает скрипт. Если сайт, которому вводится запрос, например, Facebook, выдает кодовый ответ A200, это значит, что произведен успешный запрос на аутентификацию. Это говорит о том, что

пользователь раньше не посещал его. Если получается код А404, значит, он ранее уже был здесь.

Исключить возможность этого эксплоита трудно, проверку относительности могут отключить немногие сайты.

Опубликовано администратором сайта в категории "Новости"

Данная запись была опубликована в Вторник, Январь 25th, 2011 at 22:09 и помещена в категорию "Новости". You can follow any responses to this entry through the comments RSS 2.0 feed. Вы можете оставить комментарий, или использовать технологию trackback с вашего собственного сайта.

Leave a Reply

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong>