`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Обнаружены 14 новых способов обхода защиты популярных веб-браузеров

0 
 

Обнаружены 14 новых способов обхода защиты популярных веб-браузеров

Эксперты по ИТ-безопасности из Рурского университета Бохума (RUB) и Университета прикладных наук Нидерландов выявили 14 новых разновидностей атак на веб-браузеры, известных как межсайтовые утечки или XS-Leaks. Используя XS-Leaks, вредоносный веб-сайт может получать личные данные посетителей, взаимодействуя с другими веб-сайтами в фоновом режиме.  

Исследователи проверили, насколько хорошо 56 комбинаций браузеров и операционных систем защищены от 34 различных XS-Leaks. Для этого они разработали веб-сайт XSinator.com, который позволяет автоматически тестировать браузеры на наличие таких проблем. Их эксперимент, в частности, продемонстрировал уязвимость к значительному количеству XS-утечек популярных браузеров, таких как Chrome и Firefox.

«XS-Leaks – это часто недоработки браузера, которые должны исправляться его  производителем», – говорит Лукас Книттель (Lukas Knittel) из RUB, один из авторов статьи по итогам этого исследования. Статья была опубликована онлайн и представлена на виртуальной конференции ACM по безопасности компьютеров и коммуникаций в середине ноября.

XS-утечки применяются для обхода так называемой политики одинакового происхождения (same-origin), одной из основных линий защиты браузеров от различных типов атак. Задача политики одинакового происхождения – предотвратить кражу информации с надёжного веб-сайта.  В случае XS-Leaks злоумышленники, тем не менее, могут распознать отдельные детали веб-сайта и организовать кражу связанных с этими деталями персональных данных. Например, с вредоносного сайта можно будет прочесть электронные письма в почтовом ящике потому что функция поиска будет реагировать по-разному в зависимости от того, были ли результаты для поискового запроса или нет.

Для того, чтобы систематизировать анализ XS-Leaks, группа сначала выделила три отличительные характеристики таких атак. На их основе была разработана формальная модель, которая помогает понять XS-утечки и обнаруживать новые атаки. В результате применения этой модели исследователи смогли обнаружить 14 новых категорий таких атак.

Dell PowerStore – абсолютная готовность к инновациям в IT

0 
 

Напечатать Отправить другу

Читайте также

 
 

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT