информационная безопасность без паники и всерьез  подробно о проекте
			Анализ криптографических сетевых...   Модель надежности двухузлового...   Специальные марковские модели надежности...   Бэкдор в xz/liblzma, предназначенный...   Три миллиона электронных замков...   Doom на газонокосилках
	главная обзор RSN блог библиотека закон бред форум dnet о проекте
	bugtraq.ru / форум / site updates		Имя Пароль

ФОРУМ если вы видите этот текст, отключите в настройках форума использование JavaScript регистрация Легенда:   новое сообщение   закрытая нитка   новое сообщение   в закрытой нитке   старое сообщение	Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания. Новичкам также крайне полезно ознакомиться с данным документом. Совместная уязвимость GMail и IE дает возможность захвата аккаунтов 19.12.07 15:44   Publisher: dl <Dmitry Leonov> <"чистая" ссылка> Совместная уязвимость GMail и IE дает возможность захвата аккаунтов InfoWorld http://www.infoworld.com/article/07/12/18/IE-Gmail-bugs-allow-hijacking-of-accounts-on-public-PCs_1.html Уязвимость в механизме кэширования IE в сочетании с веб-службами, подверженными атакам класса CSRF (cross-site request forgery) [ http://bugtraq.ru/rsn/archive/2007/09/09.html ], приводит к возможности атаки на почтовый аккаунт, если жертва использовала тот же локальный пользовательский аккаунт, что и атакующий (вполне обычное дело для всяких интернет-кафе и прочих публично доступных компьютеров). Суть проблемы в том, что IE кэширует слишком много и не слишком торопится чистить кэш, а на сохраненных страницах GMail остаются пути с идентификаторами сессий (для аттачей в основном), которые могут быть использованы при последующей атаке. Microsoft вполне резонно заявила, что не считает это уязвимостью IE - кэширование на то и кэширование, что сохраняет пришедшие страницы as is. Ну а пока гуглевские программисты не научатся блокировать... Полный текст А причём тут ИЕ? Опера тоже кэширует. Это Гугл облажался. 19.12.07 16:39   Автор: Knjazev Статус: Незарегистрированный пользователь <"чистая" ссылка> детали не уточняются 19.12.07 16:45   Автор: dl <Dmitry Leonov> <"чистая" ссылка> Если IE получает заголовки о запрете кэширования, и все-таки кэширует, то можно считать и багом. А https не дано использовать? 19.12.07 17:21   Автор: Gluek Статус: Незарегистрированный пользователь <"чистая" ссылка> > Если IE получает заголовки о запрете кэширования, и > все-таки кэширует, то можно считать и багом. А https не дано использовать? Тогда и кешировать не будут. Нахрена вообще юзать веб-интерфейс? 21.12.07 12:18   Автор: Den <Denis> Статус: The Elderman <"чистая" ссылка> GMail хорош своей поддержкой возможности SSL/TLS подключения почтового клиента Конечно все в интернет-кафе сразу подорвались настраивать клиентов. 22.12.07 01:27   Автор: jetf Статус: Незарегистрированный пользователь <"чистая" ссылка> 1

Copyright © 2001-2024 Dmitry Leonov

Page build time: 0 s

Design: Vadim Derkach