информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Сетевые кракеры и правда о деле ЛевинаSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft сообщила о 44 миллионах... 
 Множественные уязвимости в VNC 
 Шестой Perl превратится в Raku,... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
А причём тут ИЕ? Опера тоже кэширует. Это Гугл облажался. 19.12.07 16:39  Число просмотров: 2295
Автор: Knjazev Статус: Незарегистрированный пользователь
<"чистая" ссылка>
<site updates>
Совместная уязвимость GMail и IE дает возможность захвата аккаунтов 19.12.07 15:44  
Publisher: dl <Dmitry Leonov>
<"чистая" ссылка>
Совместная уязвимость GMail и IE дает возможность захвата аккаунтов
InfoWorld http://www.infoworld.com/article/07/12/18/IE-Gmail-bugs-allow-hijacking-of-accounts-on-public-PCs_1.html

Уязвимость в механизме кэширования IE в сочетании с веб-службами, подверженными атакам класса CSRF (cross-site request forgery) [ http://bugtraq.ru/rsn/archive/2007/09/09.html ], приводит к возможности атаки на почтовый аккаунт, если жертва использовала тот же локальный пользовательский аккаунт, что и атакующий (вполне обычное дело для всяких интернет-кафе и прочих публично доступных компьютеров).
Суть проблемы в том, что IE кэширует слишком много и не слишком торопится чистить кэш, а на сохраненных страницах GMail остаются пути с идентификаторами сессий (для аттачей в основном), которые могут быть использованы при последующей атаке. Microsoft вполне резонно заявила, что не считает это уязвимостью IE - кэширование на то и кэширование, что сохраняет пришедшие страницы as is. Ну а пока гуглевские программисты не научатся блокировать...

Полный текст
А причём тут ИЕ? Опера тоже кэширует. Это Гугл облажался. 19.12.07 16:39  
Автор: Knjazev Статус: Незарегистрированный пользователь
<"чистая" ссылка>
детали не уточняются 19.12.07 16:45  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
Если IE получает заголовки о запрете кэширования, и все-таки кэширует, то можно считать и багом.
А https не дано использовать? 19.12.07 17:21  
Автор: Gluek Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Если IE получает заголовки о запрете кэширования, и
> все-таки кэширует, то можно считать и багом.
А https не дано использовать? Тогда и кешировать не будут.
Нахрена вообще юзать веб-интерфейс? 21.12.07 12:18  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
GMail хорош своей поддержкой возможности SSL/TLS подключения почтового клиента
Конечно все в интернет-кафе сразу подорвались настраивать клиентов. 22.12.07 01:27  
Автор: jetf Статус: Незарегистрированный пользователь
<"чистая" ссылка>
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2019 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach