Safari i IE są dziurawe

Internet Explorer oraz Safari zdradzają dane użytkowników. Jeremiah Grossman z White Hat Security na konferencji Black Hat Security zaprezentuje metodę pozyskiwania danych użytkowników w tych przeglądarkach.

Gdzie jest luka? W opcji zapamiętywania danych formularzy. Opcja auto uzupełniania posłuży Gorssmanowi do pokazania, że takowa luka istnieje i należy ją jak najszybciej załatać.

technologie.gazeta.pl:

W przypadku Safari jego skrypt symuluje wpisywanie w pola tekstowe kolejnych liter i liczb, a następnie zapisuje wartości, które udało się w ten sposób uzyskać. W przypadku IE po prostu symuluje naciśnięcie kursora w dół (podatność nie dotyczy jednak najnowszej wersji przeglądarki, czyli IE8, a jedynie 6 i 7). Wszystko dzieje się automatycznie i w ciągu sekund, wystarczy tylko wejść na stronę. Aby dodatkowo utrudnić wykrycie ataku, pole i wpisywane w nie informacje mogą być ustawione tak, aby użytkownik nie widział co się dzieje.

Za pomocą tej metody można bezproblemowo wyciągać wszelkie dane użytkowników, które zostały oczywiście wpisane w formularze.

Grossman powiadomił Apple o luce. Firma przyznała, że wie o niej i pracuje nad jej załataniem. Użytkownicy Internet Explorera powinni zaktualizować przeglądarkę do wersji 8, gdzie problem nie występuje.

[ź] technologie.gazeta.pl