Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Совместная уязвимость GMail и IE дает возможность захвата аккаунтов 19.12.07 15:44
Publisher: dl <Dmitry Leonov>
|
Совместная уязвимость GMail и IE дает возможность захвата аккаунтов InfoWorld http://www.infoworld.com/article/07/12/18/IE-Gmail-bugs-allow-hijacking-of-accounts-on-public-PCs_1.html
Уязвимость в механизме кэширования IE в сочетании с веб-службами, подверженными атакам класса CSRF (cross-site request forgery) [ http://bugtraq.ru/rsn/archive/2007/09/09.html ], приводит к возможности атаки на почтовый аккаунт, если жертва использовала тот же локальный пользовательский аккаунт, что и атакующий (вполне обычное дело для всяких интернет-кафе и прочих публично доступных компьютеров).
Суть проблемы в том, что IE кэширует слишком много и не слишком торопится чистить кэш, а на сохраненных страницах GMail остаются пути с идентификаторами сессий (для аттачей в основном), которые могут быть использованы при последующей атаке. Microsoft вполне резонно заявила, что не считает это уязвимостью IE - кэширование на то и кэширование, что сохраняет пришедшие страницы as is. Ну а пока гуглевские программисты не научатся блокировать...
Полный текст
|
|
А причём тут ИЕ? Опера тоже кэширует. Это Гугл облажался. 19.12.07 16:39
Автор: Knjazev Статус: Незарегистрированный пользователь
|
|
| |
детали не уточняются 19.12.07 16:45
Автор: dl <Dmitry Leonov>
|
Если IE получает заголовки о запрете кэширования, и все-таки кэширует, то можно считать и багом.
|
| | |
А https не дано использовать? 19.12.07 17:21
Автор: Gluek Статус: Незарегистрированный пользователь
|
> Если IE получает заголовки о запрете кэширования, и > все-таки кэширует, то можно считать и багом. А https не дано использовать? Тогда и кешировать не будут.
|
| | | |
Нахрена вообще юзать веб-интерфейс? 21.12.07 12:18
Автор: Den <Денис Т.> Статус: The Elderman
|
GMail хорош своей поддержкой возможности SSL/TLS подключения почтового клиента
|
| | | | |
Конечно все в интернет-кафе сразу подорвались настраивать клиентов. 22.12.07 01:27
Автор: jetf Статус: Незарегистрированный пользователь
|
|
|
|