Firefox vulnerable - zistujeme uzivatelovu historiu :)

Na zaujimavu chybu upozornil uzivatel menom pdp. Tato chyba umoznuje citat z firefox cachce, ktore stranky uzivatel navstivil. Tato chyba nie je kriticka a je nutne staticky vlozit URL, ktore chceme testovat, cize nie je to az take hrozne. Ale aj tak to nie je moc prijemne. Zakernu stranku som upravil na nase(cz/sk) pomery, nech je to trochu zaujimavejsie. :) Staci si v novej zalozke(nie je potrebne) otvarat stranky ktore testujem a potom urobit refresh testu.Test mozte urobit tusteal_history.htmlOchranaZatial nie je proti tomu ziadna ochrana(okrem vypnutia cache), ale je to uz v bug reporte, tak sa to mozno v dalsej verzii fixne.//------------------------------------------------- ------------------------------------------Enjoy! :)

Zdroj: http://www.gnucitizen.org/

Předmět	Autor	Datum
Teda já nevím, ale nějak to nefunguje. Ať dělám, co dělám, tak "visited" se mi zobrazuje jen u porad… rokator 24.02.2007 18:47	rokator	24.02.2007 18:47
A byls na těch ostatních? :-) karel 24.02.2007 19:20	karel	24.02.2007 19:20
:-[ a to musím? jistě že byl ! rokator 24.02.2007 19:22	rokator	24.02.2007 19:22
doplněk: tak po několika pokusech, kdy jsem opětovně načítal ty stránky, jsem se dostal do fáze, kdy… rokator 24.02.2007 19:24	rokator	24.02.2007 19:24
bude to najskor tym, ze napr. miesto www.zive.cz pises zive.cz a s google naskor pouzivas google.cz,… IgorK 27.02.2007 20:19	IgorK	27.02.2007 20:19
Dostať sa k informácií o navštívených stránkach sa dá oveľa jednoduchšie a zároveň to funguje nezávi… los 24.02.2007 20:05	los	24.02.2007 20:05
jasne a toto je aj elegantne riesenie. ale nesuvisi s tym, co je podstatou tohoto hacku. cely hack s… IgorK 27.02.2007 20:23	IgorK	27.02.2007 20:23
Ten skript, ktorý si dal na otestovanie, zistí iba to, či tam ten záznam je alebo nie. Žiadne ďalšie… poslední los 27.02.2007 21:50	los	27.02.2007 21:50

Teda já nevím, ale nějak to nefunguje. Ať dělám, co dělám, tak "visited" se mi zobrazuje jen u poradny.net.

Firefox 2.0.0.1

A byls na těch ostatních?

a to musím?

jistě že byl !

doplněk: tak po několika pokusech, kdy jsem opětovně načítal ty stránky, jsem se dostal do fáze, kdy mám visited u všeho kromě Googlu, a tam jsem taky byl... ale lepší se to

bude to najskor tym, ze napr. miesto www.zive.cz pises zive.cz a s google naskor pouzivas google.cz, lebo ten hack je konkretne napisany tak, ze zistuje ci si nacital dotycny obrazok(v nasom pripade logo) z tychto serverov ale adresa musi sediet.

Dostať sa k informácií o navštívených stránkach sa dá oveľa jednoduchšie a zároveň to funguje nezávisle na prehliadači ("útočník" musí tiež dopredu vedieť, o ktoré stránky sa zaujíma).

Stačí naštýlovať navštívený odkaz (a:visited) a JavaScriptom zistiť, či sa štýl použil alebo nie. Funguje tam, kde je podporovaný JavaScript a CSS (prakticky všade).

jasne a toto je aj elegantne riesenie. ale nesuvisi s tym, co je podstatou tohoto hacku. cely hack sa opiera o moznost citat z firefox cache, cize napr. s historiou v tvojom pripade prichadzas o exclusivitu ako je napr. v ktory den si prezeral stranku, co konkretne na stranke blokoval atd. cele sa to opiera hlavne o tento kus kodu:

s.src = 'about:cache-entry?...'

Ten skript, ktorý si dal na otestovanie, zistí iba to, či tam ten záznam je alebo nie. Žiadne ďalšie informácie z neho nevytiahne a ani vytiahnuť nemôže.

Zpět na aktuality Přidat komentář k aktualitě Nahoru