Alle nettlesere er for tiden utsatt for en CSS historie lekkasje som gjør det mulig for angripere å teste om en bestemt området ble besøkt av en bruker i nettleseren som brukes til å koble til området.
CSS lekkasje gjør bruk av en funksjon av CSS som farger besøkte og ikke-besøkte lenker på en annen måte. Alle angriper trenger å gjøre er å vise en stor liste over mulige nettsteder på en side og sjekk hvordan koblingen fargen ser ut for å se om nettsteder som har blitt besøkt.
I utgangspunktet, en stor liste over koblinger som er lagt til siden (det kan være skjult). Nettleseren bruker en annen farge på besøkte lenker, og skript på nettstedet må bare sjekke hvilke av de lenkene som samsvarer med dette color å vite at en bruker som gikk til det stedet før.
Skriptene er for tiden tester mer enn 200 K Nettadresser per minutt, noe som bør være nok til å skape en solid profil i nesten alle internett-bruker.
Noen faktorer redusere problemet som clearing historien regelmessig.
Mozilla-utviklerne har nå kommet opp med en løsning for problemet som gjelder tre endringer på den måte koblinger er innredet i en web browser.
Mozilla Plugger CSS Historie Lekkasje
Mozilla bloggen har en ganske lang artikkel opp med tekniske detailsm som gjør David Baron hvis løsning ble plukket ut til å koble CSS Historie lekkasje i nettleseren.
De tre endringer ta vare på layout-baserte angrep, timing angrep, og beregnet stil angrep.
- layout-baserte angrep: Mozilla besluttet å begrense styling som kan gjøres for å besøkte koblinger.
- timing angrep: eliminerer angrep som skiller besøkt fra ubenyttede koblinger ved å måle tiden det tar å løse dem.
- beregnet stil angrep: returnerer ubenyttede stil hvis et skript forsøker å få beregnet stil i en kobling.
Det er ennå ikke klart når dette vil gjøre veien til Firefox nettleser, men det er sannsynlig at det vil bli gjennomført snart.
Brukere som ikke ønsker å vente kan beskytte datamaskinen deres er fra lekkasjen ved å sette “layout.css.visited_links_enabled alternativ i about:config false” som har den konsekvens at ingen styling for besøkte koblinger vises i nettleseren.
Brukere av alle web-lesere som ønsker å teste hva et skript kan finne ut om deres surfing vaner, kan du besøke Starte Panikk nettstedet.
Oppdatering:
Alle moderne nettlesere er beskyttet mot slike angrep nå.
Nettstedet nevnt i siste setning skal ikke vise alle nettsteder du har besøkt tidligere hvis du bruker en moderne nettleser.
Det er ikke behov lenger for å begrense styling av besøkte koblinger i nettleseren din, men du kan fortsatt gjøre det hvis du vil.