![]() | Бесплатные прокси. Количество: ![]() Прокси для пользователей форума (API). Количество: Купить доступ к прокси-листам (API). Количество: |
![]() | ![]() | ![]() |
![]() | ![]() |
![]() | ![]() |
|
![]() |
| LinkBack | Опции темы | Поиск в этой теме | Опции просмотра |
![]() | #1 (permalink) |
VPN Регистрация: 16.09.2015
Сообщений: 1,492
Member ID: 35426
![]() Репутация: 21 Сказал(а) спасибо: 0
Поблагодарили 7 раз(а) в 7 сообщениях
| ![]() ![]() На конференции Toorcon продемонстрирован новый вид атаки на браузеры, позволяющей выяснить какие сайты пользователь посещал ранее. Атака применима к сайтам, на которых включена поддержка протокола HSTS для автоматизации проброса на области HTTPS при запросе ресурса с использованием протокола HTTP, и проявляется даже если пользователь очистил историю посещений. Для демонстрации уязвимости подготовлена специальная страница, анализирующая открытие в прошлом некоторых популярных ресурсов. Проблема успешно проявляется в Firefox и Chrome, но также затрагивает и другие браузеры, поддерживающие HSTS. В Tor Browser проблема не проявляется из-за ограничения точности таймера. Техника атаки основывается на том, что CSP запросив несуществующее изображение на сайте с использованием протокола HTTP, в случае если на этом сайте выставлен флаг HSTS и сайт открывался ранее, его параметры HSTS прокэшированы и ответ будет возвращён после одного запроса (URL сразу будет запрошен по HTTPS, минуя запрос по HTTP). Если сайт не был открыт ранее, вначале будет выполнен запрос по HTTP, а затем, после получения заголовка HSTS, браузер отправит повторный запрос с использованием HTTPS, т.е. операция займёт ощутимо больше времени. Оценив время задержки кодом на JavaScript можно с достаточно большой вероятностью определить открывал пользователь проверяемый сайт ранее или нет. Интересно, что разработчикам Chrome около года назад сообщили о похожем методе определения факта открытия сайтов и данная проблема до сих пор не решена. Если обратиться к 443 порту сайта по протоколу HTTP ( Ещё одна уязвимость связана с работой механизма привязки открытых ключей (HPKP, HTTP Public Key Pinning), позволяющего явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта. |
![]() | ![]() |
![]() |
Опции темы | Поиск в этой теме |
Опции просмотра | |
| |
![]() | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Большинство Android-устройств подвержены критическим уязвимостям | Proxy-Base-News | Новости IT | 0 | 17.10.2015 00:22 |
Полезные расширения/дополнения для Mozilla Firefox и Google Chrome | Unlimited | Операционные системы и ПО | 6 | 05.10.2015 14:34 |