Популярные почтовые системы и социальные сети подвержены новой угрозе
27.01.2011
Британский веб-разработчик Майк Кардуэлл сообщил об обнаружении простого способа сообщения пользователям о том, вошли ли они в Gmail, Facebook, Twitter, Digg и тысячи других сайтов. Новый метод позволяет сторонним сайтам, которые к вышеуказанным проектам не имеют отношения, информировать пользователей об их сеансах в социальных сетях, почтовых системах и проч.
Созданный метод базируется на использовании статусных кодов, возвращаемых многими сайтами. Эти коды различаются в зависимости от того, входил ли человек на сайт или нет. Встроив в веб-страницу небольшой фрагмент кода JavaScript, содержащего ссылку на один из искомых сайтов, можно сразу же сказать, входил ли пользователь на этот сайт.
Правда, веб-разработчик предупреждает, что данный метод не работает в случае с браузерами Opera и Internet Explorer.
Сообщается, что эксплоит работает за счет идентификации HTTP-статуса, возвращаемого, когда посетитель отрабатывает скрипт. Если во время обработки сайт, которому дается запрос, к примеру Facebook, дает кодовый ответ A200, то это говорит о об успешном запросе на аутентификацию, и соответственно, что пользователь прежде не входил на сайт. Если же код получается А404, 500 или другой, то это значит, что пользователь ранее здесь уже был.
"Исключить возможность данного эксплоита очень трудно, лишь немногие сайты могут отключить проверку относительности",- пишет Кардуэлл в своем блоге.
Более подробные данные о трюке доступны по ссылке.
