"Tudom a neved, hol dolgozol és hol élsz (Safari 4 & 5)"

 ( trey | 2010. július 23., péntek - 13:59 )

Jeremiah Grossman - a WhiteHat Security műszaki igazgatója - szerint biztonsági és privacy problémája van a Safari 4 és 5 böngészőknek. A szakember azt állítja, hogy rosszindulatú weboldalak képesek lehetnek az áldozat személyes adatainak, például nevének, munkahelyének, lakhelyének, e-mail címének ellopására. Közzétett egy videót is a probléma demonstrálására:

Egyes vélemények szerint cukor lehet ez az adatszivárogtatás a spammereknek. Nem kizárt, hogy más WebKit alapú böngészők - pl. Google Chrome - is érintettek.

A részletek (benne a workaround-dal) itt és itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Nice bug. Még szerencse hogy az 123456-os telefonszámom és az X Y nevem ellopása nem fáj annyira :)

Számot (számmal kezdődő adatot) nem lehet lopni. RTFA.

--
trey @ gépház

Valamiért az Address Bookot el se kezdtem használni, így tőlem sincs mit kinyerni.

javascript as usual

Igen. De én is noscript addonnal közlekedek a neten, mint sokan mások.

A probléma az, hogy a jópár oldalon (mint itt a HUPon is) ki van kapcsolva. Na most mi van akkor ha trey úgy dönt eladja az oldalt arab hackereknek és holnap jövök ide kikapcsolt addonnal.

Szuperparanoiás barátaim már javasolták hogy browsoljak LiveCD-ről. De nem mindig van alakalom átboolni livera.

Az a biztos, ha egyáltalán nem is netezel. Mindenkinek jobb lesz.

+1 gondolkodtam valami frappáns válaszon, de annyira jól megfogalmaztad...

ezek szerint ha bármely weboldalon megadok valami adatott, majd rá megyek egy ilyen "adatbányász" oldalra akkor pársec alatt letudják nyúlni az összes adattom?:P

hát akki ilyet csinál annak bizony a (#&@$&)-t.De azért tesztik a fekete kalapos csókák leleményességét.

[off]
akkor lesz baj ha jön a kiválasztot fekete kalapos(sisakos) V3d3r@D4rth
[/off]
-------------------------------------------------------------------------
Nem, de lehetne.

"ezek szerint ha bármely weboldalon megadok valami adatott, majd rá megyek egy ilyen "adatbányász" oldalra akkor pársec alatt letudják nyúlni az összes adattom?:P"

Nem, itt nem erről van szó.

--
trey @ gépház

akkor ez csak akkor működik ha a támadó ténylegesen a gépemnél van?
-------------------------------------------------------------------------
Nem, de lehetne.

Csak az Address Bookba felvett adatokból tud kinyerni.

De az address book-ot nem tudja megnyitni mi?
/o\

kalozradio?

:D

:D
Nem is láttam cirka 1 hónapja. Rákeresek, hát nem ő indította a ppc-s vista topikot? :D

6.0.474.0 (53294) Ubuntu 10.04

AutoFill bekapcsolva.

a script amikor végigmegy kidobja a legördülő listában az adatokat, de azt kinyernie már nem sikerül, nem kerülnek a keresési eredménybe. valaki másnak chromiummal sikerült reprodukálni?
próbáltam úgy is, hogy hozzáadok egy ilyen névjegyet az autofill opciókban, de így sem adja ki egyik infót sem.

A linkelt cikk hozzászólásaiban találsz infókat Chrome/Chromium-mal kapcsolatban.

--
trey @ gépház

Safari 5.0 (6533.16) - működik (kivadászott pár lényegtelen adatot az Addressbook appból)
Chrome 5.0.375.99 - nem működik (autofill bekapcsolva)

OS X 10.6

OS X 10.5, Safari 5.0 (5533.16) alatt nekem gyűjtött ki semmit. Address Bookban van bőven adat, és be is van állítva az autofill.

Nekem csak a nevemet gyűjtötte ki, pedig a address bookban benne van minden.
OSX 10.6.3, Safari 5.0

Nekem több, a nevemmel megegyező névjegy is volt az Address Bookban, de csak az egyikből tudott bányászni.

Chrome elvileg nem irja be konkretan a inputba az erteket amig nincs user interakcio.
------------------
http://www.youtube.com/watch?v=Sf8cM7f6P2I

Ezek szerint felhasználóknak egy jól megírt javascriptes webformon magától kitöltődnek az adataik.
Micsoda kényelem.

:D

szerintem jelentkezz az Apple-nél felvételre. Akár Jobs utódja is lehetsz, ha így folytatod! ☺