Главная
Архив новостей
Безопасность в Unix
Безопасность в Windows
Сборник FAQ'ов
Телефония, фрикинг
Кредитные карты
Криптография
Истории о хакерах
Программы, утилиты
_el@sp.sz.ru

RB2 Network

"Дыра" в браузере Internet Explorer позволяет украсть ваше печенье


                                                                                                                     



Специалисты Peacefire.org нашли в среду очередную "дыру" в системе безопасности браузера Internet Explorer, которая позволяет хакеру, создавшем специальную web-страницу, получать с помощью нее доступ к файлам cookies на компьютере пользователя. 

Cookies ("печенье") представляют собой короткие кусочки кода, которые различные серверы оставляют на компьютерах пользователей, когда те загружают страницы с этих серверов. Это позволяет серверу при следующем заходе пользователя на ту же страницу "опознать" его - например, для того, чтобы не спрашивать у него пароль снова. Cookies также позволяют в определенном смысле шпионить за пользователем: по ним можно узнать, какие страницы в рамках данного сервера посещает пользователь, с тем чтобы показывать ему соответствующую рекламу. Именно это стало причиной ряда судебных исков против американского агентства сетевой рекламы DoubleClick.

Получение cookies, хранящихся на вашем компьютере, с помощью "дыры" в браузере наглядно демонстрируется на соответствующей странице Peacefire.org. Данная web-страница устроена так, что "обманывает" браузер: он расценивает заход на этот адрес как заход на соответвующий сервер (yahoo.com, hotmail.com, amazon.com, mp3.com и т.п.) и позволяет хакерской странице считывать cookies c компьютера пользователя.

На сайте также приводятся примеры того, что именно может сделать хакер, имея доступ к набору ваших cookies. В частности, обладание cookies от Hotmail, Yahoo Mail и других web-почт позволяет попасть в почтовый ящик пользователя. Хотя cookies не содержат пароль, они генерируются на каждый логин, чтобы не спрашивать пароль с данной машины снова - таким образом, можно залезть в ящик человека, который в данный момент сам читает почту.

В других случаях обладание cookies позволяет узнать имена и адреса пользователей, а также их предпочтения в литературе и музыке (Amazon.com), пароли для входа на некоторые сайты (NYTimes.com), или просто тот факт, что вы заходили на сайт (Playboy.com).

Подобная "дыра" имеется во всех версиях браузера Internet Explorer для Windows 95, 98, NT и 2000. Компания Microsoft признала наличие данной ошибки, и сообщила, что начата работа по созданию соответствующего патча.

Пока же специалисты, нашедшие ошибку, советуют либо отключать в браузере обработку JavaScript (именно он используется на "хакерской web-странице", чтобы считывать cookies), либо использовать Netscape или другие браузеры, не подверженные данной ошибке.

Напомним, что "китайский червь", распространяющийся через электронную почту в виде HTML-письма, также использует дыру в Internet Explorer.

Lenta.Ru


<== Back to main page