Google, LLC
Jake Archibald, razvijalec zagovornika brskalnika Google Chrome, je v sodobni tehnologiji brskanja po spletu odkril precej resno ranljivost, ki bi spletnim mestom dovolila krajo prijavnih podatkov in drugih občutljivih informacij. Eksploati lahko teoretično ukradejo informacije, povezane z drugimi spletnimi mesti, na katera ste se prijavili, vendar trenutno ne poskušate dostopati do njih.
Napadalci na daljavo bi hipotetično lahko celo uporabili to ranljivost za branje vsebine e-pošte, do katere dostopate iz spletnega vmesnika ali zasebnih objav, poslanih na spletnih mestih družabnih omrežij.
Tehnologija zahtev za navzkrižno poreklo je jedro, na katerem bi lahko teoretično gradili ranljivost. Sodobni brskalniki spletnim mestom ne dovoljujejo vzajemnih zahtev, ker sodobni inženirji verjamejo, da je malo upravičenih razlogov, da eno spletno mesto pregleduje informacije, ki jih dobijo druge.
Spletni brskalniki niso tako posebni pri pridobivanju drugih vrst predstavnostnih datotek, ki gostujejo na zunanjem izvoru, saj je tovrstna zahteva nujno za nalaganje pretočnega zvoka in videa.
Koda spletnega mesta običajno dovoljuje nalaganje zvočnih in video datotek iz druge domene, ne da bi brskalnik pozval k napaki nepooblaščene zahteve. Brskalniki lahko podpirajo tudi nekatere vrste odzivov glave in odziva na delno nalaganje vsebine, ki naj bi zagotavljali majhne koščke večjega dela pretočnega medija.
Microsoft Archi, Mozilla Firefox in drugi sodobni brskalniki bi lahko po tej metodi prevarali nepravilne zahteve z uporabo te metode. Dokazano je, da ti brskalniki omogočajo preskusne kopije nepreglednih podatkov iz več virov do končnega uporabnika.
Trenutno ni nobenega znanega primera krekerjev, ki bi uporabili tega vektorja napada. Wavethrough, kot ga imenuje Archibald, je bil že popravljen v Chromu in Safariju, ne da bi to res namensko poskušal storiti. Izjavil je, da si želi, da bi bila tovrstna varnostna funkcija zapisana kot standard brskanja, tako da bi bili vsi sodobni brskalniki imuni na ranljivost.
Čeprav ni nobenih novic o odzivu Microsofta ali Mozille na napako, ni težko verjeti, da bodo popravki izdani ob naslednji večji posodobitvi obeh brskalnikov. Inženirji se bodo morda tudi kdaj zavzeli za to, da bi bila ta zasnova standardna, kot je Archibald želel.
Oznake Google Chrome spletna varnost
