Возможность кражи списка посещенных веб-сайтов остается, несмотря на существующую защиту

06.12.2011

Вернуться к списку новостей

Специалист по безопасности из компании Google Михал Залевски продемонстрировал новый способ узнать, какие веб-сайты недавно посещал пользователь. До сих пор подобные атаки основывались на том факте, что большинство браузеров отображают ссылки на посещенные ранее страницы цветом, отличающимся от цвета обычных ссылок, а узнать цвета можно с помощью функций JavaScript. Разработчики браузеров попытались ликвидировать возможность похищения личных данных, изменив работу этих функций. Однако, подчеркивает Залевски, существуют и другие методы кражи истории посещений. Один из них основан на измерении скорости отображения веб-сайта. Содержимое страниц, посещенных ранее, остается в локальном кэше браузера и отображается быстрее, чем загружаемое из Интернета.

Методы атак, основанные на измерении скорости отображения, ранее считались непригодными для практического использования – они работают медленно, заметны для пользователя и их нельзя использовать дважды, поскольку содержимое кэша в процессе атаки изменяется. Залевски утверждает, что ему удалось создать метод, лишенный этих ограничений и сопоставимый по эффективности с распознаванием цвета отображаемых ссылок.

Источник