LINUX.ORG.RU

Обнаружена уязвимость в браузерах на Webkit, позволяющая осуществить подмену адреса

 , , , ,


0

1

В браузере Chromium обнаружена уязвимость, позволяющая подменить адрес по протоколу https.

Данную уязвимость обнаружил Дэвид Лео и отправил обращение в Google, но там отметили, что это не является уязвимостью: «Я не могу понять, это новый тип DoS атаки или это подмена URL в чистом виде. Ваш отчет не подтверждает наличие уязвимости».

В прикреплённой ссылке можно найти подмену сайта facebook.com. Странно, что при этом сертификат сайта Chrome считает подтвержденным.

Также в ответ на данное сообщение один из пользователей написал, что подмена сработала и в браузере Opera. Стоит отметить, что подмена осуществляется с помощью скрипта, написанного на JavaScript.

Подробности

Перемещено maxcom из security

подмена сработала и в браузере Opera

На Presto такого не было.

anonymous ()
Ответ на: комментарий от anonymous

Что-то, кроме пнгшки, в новости будет? Дай угадаю — суть, случайно, не в том, что урл-бар нарисован, а на самом деле его нет?

anonymous ()

Нагуглил. И правда работает.

anonymous ()

А покажите скриптик что-ли?

FIL ★★★★ ()
Ответ на: комментарий от anonymous

Не смеши мои тапочки, на престо были целые кучи всевозможных говен, включая отломанный нафиг SOP (на котором, на секундочку, держатся интернеты).

anonymous ()

РЕЕЕЕЕШЕЕЕЕЕЕТОООООО.
Слава человекам. Убить Всех Хромогов.

mittorn ★★★★★ ()
Последнее исправление: mittorn (всего исправлений: 1)

Фишеры получили новую игрушку, а они совсем не видят в этом уязвимости?

nexfwall ★★★★ ()

Я не могу понять, это новый тип DoS атаки или это подмена URL в чистом виде.

Я не могу понять, это белоголовый орлан или новый способ игнорирования проблемы в чистом виде?

t184256 ★★★★★ ()
Ответ на: комментарий от MrClon

Касты работают до подтверждения? А вообще, такие вещи лучше писать в спецтопик.

Klymedy ★★★★★ ()

но там отметили, что это не является уязвимостью

Правильно - это не фитча, которую они хотели использовать для скрытого переброса пользователей на свою страничку, в которой в фрейме(или что там сейчас в моде, инклюды?) отрисовывается запрошенный сайт. В итоге проксирвоание https - google https собирать больше пользовательской инфы.

log4tmp ★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.