Перейти к содержанию

Recommended Posts

p2u

Заходите сюда.

Нажмите на 'Let's start!' и ждите пару минут. Для пользователей Firefox + NoScript: включите, пожалуйста, скрипты для данного домена для того, чтобы увидеть, сколько можно набрать на доверенных доменах.

P.S.: Если вами посещённых сайтов там нет, не унывайте: скоро будут... :D

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla

Ну думаю он читает куки...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Ну думаю он читает куки...

Не угадали. :)

Это CSS-хак. Если вы ничего специально не настройли, то тогда сылки, которые вы раньше посещали показываются браузером другим цветом. Вот подсказка...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

[14:52] %ЙаЛис: дело не в кукисах.

[14:52] %ЙаЛис: Всё много проще.

[14:52] Роль Bishounen была изменена на 'Участник'.

[14:52] Bishounen вошел

[14:52] Se7ven вышел

[14:52] %ЙаЛис: Современные браузеры позволяют использовать такую хитрую вещь как selectorAPI.

[14:53] %ЙаЛис: то есть использование CSS синтаксиса для выборки элементов.

[14:53] Angeli-Ka вышел: I'm happy Miranda IM user. Get it at http://miranda-im.org/.

[14:53] %ЙаЛис: И если ты делаешь кучу ссылок на разные сайты, потом берёшь выборку по a:visited, то ты можешь получить значения этих ссылок и грязно их заюзать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla

ой, я нифига не понял, ну да ладно)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
ой, я нифига не понял, ну да ладно)

У них достаточно большой список сайтов: http://startpanic.com/db/db_en.txt

Их скрипт говорит вашему браузеру, чтобы тот показал сайты в их списке определённым шрифтом/цветом в зависимости от того, посещали ли вы этот сайт или нет. То есть: сайты, которых у них нет в базе, сервер не может узнать данным трюком. :)

Paul

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
barsukRed

Странно как-то... Опера, куки включены, ЯС включен. Ни одного сайта, который посещял( а набор довольно большой и в списке некоторые есть) не показало, но... только однокласники.ру который я не посещал! Даже куков в браузере от него нет!

Как это?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Странно как-то... Опера, куки включены, ЯС включен. Ни одного сайта, который посещял( а набор довольно большой) не показало, но... только однокласники.ру который я не посещал! Даже куков в браузере от него нет!

Как это?

С куками это НЕ связно. Во-первых я должен сказать, что Опера из всех браузеров лучше всего защищён против таких эксплойтов (возможно из-за отсутствии plug-in'ов и add-on'ов, не знаю). Насколько поддержка Net-Framework или её отсутствие на это влияет пока не могу сказать. Вы, наверное, регулярно очищаете Историю в браузере? В таком случае, больше, чем то, что набралось в данной сессии они всё равно не узнают.

Вы хотите сказать, что вы сами никогда не были на одноклассники.ру? А может быть имеется другой профиль (жены, подруги, брата), который там был? Или это остаток рекламной ссылки какой-нибудь? Дело в том, что когда вы посещаете один сайт, вы на самом деле тоже посещаете другие (могут быть юзер-бары оттуда где-то). Например, если вы разрешаете картинки по умолчанию, то тогда там где участвует Deja_Vu в темах здесь, ваш браузер физически тоже ходит на вконтакте.ру и висит там некоторое время (это из-за его юзер-бара 'Anti-Malware Member'), а вы потом будете отрицать, что вы там когда-либо были. А Deja_Vu ещё - хороший человек и не скрывает ничего; можно также поместить в профиль, в подпись, или в сообщениях картинку 1х1 (невидима), которая ведёт в другой ресурс, и ваш браузер тоже туда будет ходить... :)

P.S.: 'Ну и что?' читатель, возможно, думает. 'Пусть узнают'. Но дело в том, что в список проверяемых также можно поместить одни банковские сайты или почтовые серверы (в зависимости от того, что требуется), и атакующий будет знать, какой банк вы посещаете в он-лайн, или какой мейл сервер у вас. Это увеличивает вероятность нацеленной атаки через XSS, и т.д. через многочисленные другие дыры...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Нашёл ссылку, где на понятном русском языке обсуждается как это всё делается:

Чтение истории посещений с помощью CSS - автор: Raz0r.name.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
barsukRed
Вы хотите сказать, что вы сами никогда не были на одноклассники.ру? А может быть имеется другой профиль (жены, подруги, брата), который там был? Или это остаток рекламной ссылки какой-нибудь?

Так и есть, я не посещяю этот сайт уже давно (более года назад забыл пароль и не стал больше ничего востанавливать за ненадобностью) и за этот период я пользуюсь (кроме меня никто) уже другим браузером с атоматическим удалением истории посещений... Но почему только однокласники? И в конце концов перед тем как посетить вышеуказанную ссылку я часа полтора посещал разные сайты и в том числе из списка startpanic.com... Не выходил из оперы а значит не удалял историю посещений...

Ссылка на однокласников осталась в фаерфоксе-портабл... Но он лежит на отдельном разделе диска и не запускался давно. Надо будет разобраться с этим вопросом хотя-бы ради любознательности :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Возможно всё-таки favicon где-то остался (картинка, которую сайты посылают если её не блокировать для того, чтобы в закладках их легко узнать). Я - маниак; я их блокирую (существуют и с ними эксплойты). :D

browser.chrome.favicons, boolean, falsebrowser.chrome.site_icons, boolean, false

Браузеры сразу же индексируют ВСЁ доступное (ссылки, htm, и т.д.), что у вас на компе (скорее - это делает Windows для них). Если копия этой ссылки у вас на компе лежит, то тогда Опера об этом 'знает' (в этом виновата сама ОС). Она также знает, что вы там были, так как ссылки на посещённые сайты имеют другой цвет по умолчанию.

Офф-топ: Настоятельно рекомендую Index.Dat Analyzer.

Это очень простой forensics tool; c ним убедитесь, что CCleaner и подобные не всё очищают, и что Windows гораздо больше индексирует, чем указано в значениях 'История' во всех браузерах - якобы для быстрого поиска. Index.Dat Analyzer бесплатна и у меня доверена (что редко бывает).

Paul

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
ваш браузер физически тоже ходит на вконтакте.ру и висит там некоторое время (это из-за его юзер-бара 'Anti-Malware Member'), а вы потом будете отрицать, что вы там когда-либо были.

Не правда -))

Это прямая ссылка на рисунок. Так что никто нигде не висит. :р

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu

favicon, вроде бы не при чем. Т.е. у меня стоит локальный web-server и создан виртуальный хост с адресом существующем в интернете.

Так вот, favicon на виртуальном хосте нет, однако тест нашел его и проставил иконку с "настоящего" хоста в интернете

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Не правда -))

Это прямая ссылка на рисунок. Так что никто нигде не висит. :р

У меня нет, правда, потому что здесь разрешаются только картинки от самого anti-malware.ru, причём не все. Остальные пусть проверяют с помощью netststat или TCPView. Пока пользователь здесь в теме читает, состояние 'cs1108.vkontakte.ru' будет 'ESTABLISHED' (в Firefox) как и с картинками от radikal.ru и других ресурсов бывает. Это может длиться до того, как человек закрывает браузер (то есть: через РАЗНЫЕ домены). Это в отличии от картинок Андрей-100 (bestsmiles), например: у них соединение сразу же исчезает...

P.S.: Это не упрёк; я просто объясняю человеку откуда траффик идёт... ;)

favicon, вроде бы не при чем. Т.е. у меня стоит локальный web-server и создан виртуальный хост с адресом существующем в интернете.

Так вот, favicon на виртуальном хосте нет, однако тест нашел его и проставил иконку с "настоящего" хоста в интернете

В данном эксплойте favicon не при чём. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
В данном эксплойте favicon не при чём. :)

ага, я только потом прочитал ваш пост про css выборку -))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

Забавный сайт. В принципе, все угадал :) Я даже подписал петицию :) Паул, что делать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Паул, что делать?

А я уже подумал: Почему не спрашивают? :D

На данном сайте NoScript защищает, так как здесь всё делается через скрипты. Однако, такой эксплойт можно также организовать без скриптов. Доказательство: здесь. Поэтому:

Держать Историю на '0' (браузер не должен запоминать ничего) и сёрфить только в Private Mode, P0rn Mode или как это всё называется во всех браузерах. Причём, в Firefox 3.5 (сейчас ещё Beta) есть настройка в about:config:

pref layout.css.visited_links_enabled поставить на False. (Это значит, что посещённые ссылки больше не будут отмечаться другими параметрами даже в одной сессии). В 3.0.10 НЕТ такой настройки. Мозилла пытается решать проблему в данный момент, но, скорее всего, программёрам это не удастся. Это не баг, а задуманное свойство (интенсивно используется уже с 2001 г. всякими шпионами/рекламщиками). Для Инудстрии Безопасности (модуль анти-шпион) теоретически возможно следить за подозрительным поведением CSS). Почему это надо? Через чтение атрибутов html-тэгов могут потом на разных сайтах XSS-атаками достать пароль, автоматически заполнен менеджером паролей вашего браузера. Поэтому всем мозг напрягать стоит...

P.S.1: Ещё один пример того, чем занимаются разные сервера с 'полезными услугами':

Я сегодня пошёл в свой почтовый ящик на freemail.ru для того, чтобы кому-то писать письмо. Во-первых такой алерт от NoScript:

Warning: The stylesheet _http://freemail.ru/file/editor/skins/office2003/html_editor.css was loaded as CSS even though its MIME type, "text/html", is not "text/css".

То есть: выдают одно за другое...

И в добавок ещё такой скрипт поставили:

Source File: _http://freemail.ru/file/editor/htmleditor.html?InstanceName=body_html&Toolbar=PluginTest

Plugin Test? Разочаровались ребятки, скорее всего: plugin'ов нет у меня; я их все выдернул...

P.S.2: В IE8 надо иметь в виду что:

1) настройку Private Mode надо каждую новую сессию заново вручную включить, что быстро надоедает

2) при открытии новой закладке или окна этот режим может уже не работать (значит надо отдельно включить заново).

(Всем понятно, я так думаю, как сама Майкрософт относится к этому режиму. ;))

P.S.3: У меня установлен Firefox 3.5 Beta 4 и я только в Private Mode сижу (там есть такая настройка, чтобы Firefox автоматически работал в этом режиме). Если вы тоже хотите установить эту версию, то тогда надо иметь в виду, что многие plug-ins и add-ons НЕ работают пока! NoScript, AdblockPlus, CookieSafe и User Agent Switcher работают. От PrefBar и ShowIP пришлось отказаться.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Интересный сайт, показал мне 119 сайтов, на которых я был :) Настройка FF на удаление всей истории при закрытии браузера/сессии должна минимизировать риски использования таких хаков. Или же использовать режимы конфиденциальности типа Private Mode :)

К сожалению, такая параноидальность лично меня лишила бы части часто используемого мной функционала браузера, например, быстрой подстановки URL при его вводе (ну лень мне набирать каждый раз, сохранять не хочется). Поэтому в моем случае риски нарушения приватности явно не перевешивают неудобства от защиты. Ну узнает кто-то, что я был на сайтах типа gartner, forrester, cnews, cnet, symantec, kaspersky и т.д. - реально не вижу проблемы. Поэтому предлагаю расслабиться :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

А я вполне расслаблен, Сергей. Не зря же я создал топик в разделе юмора... Только определённые моменты надо иметь в виду: защита данных - это не только DLP на самом компе; трюков много существует, и банковские сайты тоже запоминаются браузером если ничего не делать. Поэтому я считаю, что, возможно, открываются новые горизонты для Индустрии Безопасности и всё не так уж плохо... ;)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
Причём, в Firefox 3.5 (сейчас ещё Beta) есть настройка в about:config:

pref layout.css.visited_links_enabled поставить на False.

Где же скачать эту бетку? Облазил весь сайт Моззилы - не нашел :(

И еще, как вам такой плагин в плане XSS ?

https://addons.mozilla.org/ru/firefox/addon/7598

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
И еще, как вам такой плагин в плане XSS ?

Если вы сами веб-мастер, то тогда может быть интересен. А так: проверка по базам; что это даёт? NoScript даст вам нужную защиту если вы не слишком многим сайтам доверять будете...

P.S.: Firefox 3.5 Beta 4 (US-en). Русского варианта нет там...

Paul

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

У меня этот тест опять не прошёл, как и прошлый, предложенный Паулом.

Видимо не позубам им мой старенький IE6 с моими собственными настройками.

И сейчас я вообще отказался от защиты своего ресурса чем бы то ни было. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
У меня этот тест опять не прошёл, как и прошлый, предложенный Паулом.

Видимо не позубам им мой старенький IE6 с моими собственными настройками.

И сейчас я вообще отказался от защиты своего ресурса чем бы то ни было. :)

Может быть поделитесь своими настройками? А то придут сюда читать, и подумают, что стоит вернуться к IE6 безоговорочно, что конечно не так...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Я после IE7 и IE8 же вернулся. И ничего страшного не произошло.

Всё, что мне надо - работает, открывается, загружается и сохраняется.

В одной из тем я писал про вспомогательные программы, которые безоговорочно помогают, если надо, а так они не включены (и сейчас у меня их всего две).

Ничего экстраординарного в моих настройках нет. А результат есть - браузер не заражается, система чиста.

Всем, кому не хочется 7-ку и 8-ку их делаю. Этого достаточно.

Это мой выбор. Писать ещё одну книгу про Интернет не имеет смысла.

Другие браузеры у меня тоже стоят. Но пользуюсь ими только от случая к случаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
Причём, в Firefox 3.5 (сейчас ещё Beta) есть настройка в about:config:

pref layout.css.visited_links_enabled поставить на False.

Спасибо за ссылку. Бетка уже русская. Но такой строки нет :( Просто поставил в настройках "Приватность" - "Не будет сохранять историю".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×