MISTER "X"
Эксперт
Команда форума
Судья
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Координатор арбитражей
Google наконец
в версии Chrome 136 уязвимость, которая позволяла сайтам просматривать историю браузера пользователя. Атаки с целью анализа браузерной истории впервые зафиксировали ещё 23 года назад.
Цель атаки заключается в считывании цветовых значений веб-ссылок на странице, чтобы узнать, посещались ли ранее связанные страницы. Она использует элементы веб-сайтов — HTML-файлы, описывающие структуру страницы, файлы JavaScript, содержащие код для интерактивности, и CSS-файлы, описывающие стили страниц.
CSS включает псевдокласс — :visited — который можно применять к якорям (<a>) или элементам области, имеющим свойство href (ссылку или URL). Если :visited определён в файле CSS, браузер отображает ссылки на ранее посещённые страницы в указанном цвете на основе наличия этих ссылок в файле истории браузера. \
Веб-издатели и третьи лица, способные запускать скрипты, использовали этот метод для представления ссылок на веб-странице посетителю, а затем проверяли, как браузер посетителя установил цвет для этих ссылок на отображаемой веб-странице.
Впервые решение проблемы предложили около 15 лет назад, но были разработаны другие способы проверки информации о цвете ссылок помимо getComputedStyle. В итоге принимаемые меры замедляли атаки, но не устраняли их.
Chrome 136, релиз которого намечен на 23 апреля, «станет первым крупным браузером, который сделает эти атаки устаревшими», объявили разработчики Google.
Дэвид Барон, в настоящее время инженер-программист Google, работавший в то время в Mozilla, отчёт о проблеме ещё 28 мая 2002 года. Это произошло через несколько месяцев после того, как исследователь безопасности Эндрю Кловер опубликовал в списке рассылки Bugtraq концепцию атаки, ссылаясь на статью «Атаки по времени на веб-приватность» исследователей из Принстона Эдварда Фелтена и Майкла Шнайдера, вышедшую в 2000 году.
Потребовалось около восьми лет, чтобы исследователи поняли, что вывод цвета ссылок представляет собой серьёзную угрозу конфиденциальности. В апреле 2009 года появился ныне исчезнувший веб-сайт StartPanic. Он демонстрировал, как можно вывести историю просмотров посетителя из цветов веб-ссылок, и призывал юзеров обращаться в Apple, Microsoft, Mozilla и Opera с просьбой исправить проблему.
В феврале 2010 года появился ещё один сайт haveyourfriendsbeenthere.com, рекламирующий способ «посмотреть, какие нехорошие сайты просматривали ваши друзья».
В марте 2010 года Барон опубликовал сообщение в блоге, в котором описал проблему и предложил некоторые меры по её смягчению.
Три недели спустя Mozilla разместила собственное сообщение, отметив, что разница в цветах по умолчанию для посещённых (цвет: #551A8B;) и непосещённых (цвет: #0000EE;) ссылок может быть прочитана веб-сайтами.
Атака включает оценку псевдокласса CSS :visited, что может быть сделано различными способами, включая метод window.getComputedStyle, прямую проверку DOM, выводы из взаимодействия с пользователем, такие как события щелчка и наведения, и другие средства. Создатель Firefox взял на себя обязательство реализовать защиту, описанную Бароном, с целью решения проблем с макетом, временем и вычисляемыми атаками на основе стилей. Например, метод window.getComputedStyle стал возвращать одно и то же значение независимо от того, была ли посещена ссылка или нет.
В мае 2010 года на семинаре Web 2.0 Security and Privacy 2010 в Окленде была представлена статья исследователей Артура Янца и Лукаша Олейника, в которой рассматривалось, как каскадные таблицы стилей (CSS) могут быть использованы для обнаружения истории браузера.
В статье 2011 года под названием «Я всё ещё знаю, что вы посетили прошлым летом» исследователи из Университета Карнеги-Меллона продемонстрировали шесть эксплойтов для отслеживания истории, которые обходили меры, предложенные Бароном.
Теперь Олейник обновление в своем блоге, приветствуя шаги Google. «Было предложено новое решение: разделение истории посещённых ссылок. Этот подход в корне меняет то, как браузеры хранят и раскрывают данные посещённых ссылок. Вместо ведения глобального списка они будут хранить посещённые ссылки с разделением по трём ключам», — объяснил он. Эти ключи — URL ссылки, домен верхнего уровня веб-сайта и источник фрейма, отображающего ссылку, — должны совпадать, чтобы ссылка была оформлена селектором CSS :visited.
Таким образом, механизм разделения не позволяет веб-сайтам оценивать статус посещения других сайтов, поскольку их домены не совпадают.
«Короче говоря, разделение означает хранение ваших ссылок с дополнительной информацией о том, где они были нажаты. В Chrome это: URL-адрес ссылки, сайт верхнего уровня и источник фрейма. При включенном разделении ваша история :visited больше не является глобальным списком, который может запросить любой сайт. Вместо этого ваша история :visited “разделяется” или разделяется контекстом, из которого вы изначально посетили эту ссылку», — объяснили в Google.
В начале апреля релиз браузера Google Chrome 135. Он содержит ряд исправлений и улучшений, в том числе предотвращение отслеживания HSTS и 14 устранённых уязвимостей.
Теги:
Цель атаки заключается в считывании цветовых значений веб-ссылок на странице, чтобы узнать, посещались ли ранее связанные страницы. Она использует элементы веб-сайтов — HTML-файлы, описывающие структуру страницы, файлы JavaScript, содержащие код для интерактивности, и CSS-файлы, описывающие стили страниц.
CSS включает псевдокласс — :visited — который можно применять к якорям (<a>) или элементам области, имеющим свойство href (ссылку или URL). Если :visited определён в файле CSS, браузер отображает ссылки на ранее посещённые страницы в указанном цвете на основе наличия этих ссылок в файле истории браузера. \
Код:
:visited {
color: purple;
background-color: yellow;
}Впервые решение проблемы предложили около 15 лет назад, но были разработаны другие способы проверки информации о цвете ссылок помимо getComputedStyle. В итоге принимаемые меры замедляли атаки, но не устраняли их.
Chrome 136, релиз которого намечен на 23 апреля, «станет первым крупным браузером, который сделает эти атаки устаревшими», объявили разработчики Google.
Дэвид Барон, в настоящее время инженер-программист Google, работавший в то время в Mozilla, отчёт о проблеме ещё 28 мая 2002 года. Это произошло через несколько месяцев после того, как исследователь безопасности Эндрю Кловер опубликовал в списке рассылки Bugtraq концепцию атаки, ссылаясь на статью «Атаки по времени на веб-приватность» исследователей из Принстона Эдварда Фелтена и Майкла Шнайдера, вышедшую в 2000 году.
Потребовалось около восьми лет, чтобы исследователи поняли, что вывод цвета ссылок представляет собой серьёзную угрозу конфиденциальности. В апреле 2009 года появился ныне исчезнувший веб-сайт StartPanic. Он демонстрировал, как можно вывести историю просмотров посетителя из цветов веб-ссылок, и призывал юзеров обращаться в Apple, Microsoft, Mozilla и Opera с просьбой исправить проблему.
В феврале 2010 года появился ещё один сайт haveyourfriendsbeenthere.com, рекламирующий способ «посмотреть, какие нехорошие сайты просматривали ваши друзья».
В марте 2010 года Барон опубликовал сообщение в блоге, в котором описал проблему и предложил некоторые меры по её смягчению.
Три недели спустя Mozilla разместила собственное сообщение, отметив, что разница в цветах по умолчанию для посещённых (цвет: #551A8B;) и непосещённых (цвет: #0000EE;) ссылок может быть прочитана веб-сайтами.
Атака включает оценку псевдокласса CSS :visited, что может быть сделано различными способами, включая метод window.getComputedStyle, прямую проверку DOM, выводы из взаимодействия с пользователем, такие как события щелчка и наведения, и другие средства. Создатель Firefox взял на себя обязательство реализовать защиту, описанную Бароном, с целью решения проблем с макетом, временем и вычисляемыми атаками на основе стилей. Например, метод window.getComputedStyle стал возвращать одно и то же значение независимо от того, была ли посещена ссылка или нет.
В мае 2010 года на семинаре Web 2.0 Security and Privacy 2010 в Окленде была представлена статья исследователей Артура Янца и Лукаша Олейника, в которой рассматривалось, как каскадные таблицы стилей (CSS) могут быть использованы для обнаружения истории браузера.
В статье 2011 года под названием «Я всё ещё знаю, что вы посетили прошлым летом» исследователи из Университета Карнеги-Меллона продемонстрировали шесть эксплойтов для отслеживания истории, которые обходили меры, предложенные Бароном.
Теперь Олейник обновление в своем блоге, приветствуя шаги Google. «Было предложено новое решение: разделение истории посещённых ссылок. Этот подход в корне меняет то, как браузеры хранят и раскрывают данные посещённых ссылок. Вместо ведения глобального списка они будут хранить посещённые ссылки с разделением по трём ключам», — объяснил он. Эти ключи — URL ссылки, домен верхнего уровня веб-сайта и источник фрейма, отображающего ссылку, — должны совпадать, чтобы ссылка была оформлена селектором CSS :visited.
Таким образом, механизм разделения не позволяет веб-сайтам оценивать статус посещения других сайтов, поскольку их домены не совпадают.
«Короче говоря, разделение означает хранение ваших ссылок с дополнительной информацией о том, где они были нажаты. В Chrome это: URL-адрес ссылки, сайт верхнего уровня и источник фрейма. При включенном разделении ваша история :visited больше не является глобальным списком, который может запросить любой сайт. Вместо этого ваша история :visited “разделяется” или разделяется контекстом, из которого вы изначально посетили эту ссылку», — объяснили в Google.
В начале апреля релиз браузера Google Chrome 135. Он содержит ряд исправлений и улучшений, в том числе предотвращение отслеживания HSTS и 14 устранённых уязвимостей.
Теги:
