Firefox vulnerable - zistujeme uzivatelovu historiu :)
Na zaujimavu chybu upozornil uzivatel menom pdp. Tato chyba umoznuje citat z firefox cachce, ktore stranky uzivatel navstivil. Tato chyba nie je kriticka a je nutne staticky vlozit URL, ktore chceme testovat, cize nie je to az take hrozne. Ale aj tak to nie je moc prijemne. Zakernu stranku som upravil na nase(cz/sk) pomery, nech je to trochu zaujimavejsie. :) Staci si v novej zalozke(nie je potrebne) otvarat stranky ktore testujem a potom urobit refresh testu.Test mozte urobit tusteal_history.htmlOchranaZatial nie je proti tomu ziadna ochrana(okrem vypnutia cache), ale je to uz v bug reporte, tak sa to mozno v dalsej verzii fixne.//------------------------------------------------- ------------------------------------------Enjoy! :)
Zdroj: http://www.gnucitizen.org/
Dostať sa k informácií o navštívených stránkach sa dá oveľa jednoduchšie a zároveň to funguje nezávisle na prehliadači ("útočník" musí tiež dopredu vedieť, o ktoré stránky sa zaujíma).
Stačí naštýlovať navštívený odkaz (a:visited) a JavaScriptom zistiť, či sa štýl použil alebo nie. Funguje tam, kde je podporovaný JavaScript a CSS (prakticky všade).
jasne a toto je aj elegantne riesenie. ale nesuvisi s tym, co je podstatou tohoto hacku. cely hack sa opiera o moznost citat z firefox cache, cize napr. s historiou v tvojom pripade prichadzas o exclusivitu ako je napr. v ktory den si prezeral stranku, co konkretne na stranke blokoval atd. cele sa to opiera hlavne o tento kus kodu:
Ten skript, ktorý si dal na otestovanie, zistí iba to, či tam ten záznam je alebo nie. Žiadne ďalšie informácie z neho nevytiahne a ani vytiahnuť nemôže.