Alle web-Browser sind derzeit anfällig für eine CSS-Geschichte-Leck ermöglicht Angreifern um zu testen, ob eine bestimmte Seite besucht wurde, von einem Benutzer in der browser verwendet, um die Verbindung zu der Website.
Die CSS-Leck nutzt ein feature von CSS, dass Farben von besuchten und nicht-besuchten links in einer anderen Art und Weise. Der Angreifer muss zu tun ist, um eine große Liste der möglichen Seiten auf eine Seite und prüfen Sie, wie der link die Farbe sieht aus wie zu sehen, ob Seiten besucht wurden.
Im Grunde eine riesige Liste von links zu einer Seite Hinzugefügt (kann ausgeblendet werden). Der browser verwendet eine andere Farbe für besuchte links, und das script auf der Seite einfach nur überprüfen muss, welche der links passen die Farbe zu wissen, dass ein Benutzer ging zu dieser Website vor.
Die Skripte sind derzeit testen mehr als 200K URLs pro minute, das sollte genug sein, um einen Volumenkörper zu erstellen Profil von fast jeder web-Nutzer.
Einige Faktoren mildern das problem, wie das clearing der Geschichte regelmäßig.
Mozilla-Entwickler haben nun eine Lösung für das problem, die gilt drei änderungen in der way-links sind gestylt in den web-browser.
Mozilla Stecker Der CSS History Leak
Die Mozilla-blog hat einen ziemlich langen Artikel mit dem technischen detailsm wie David Baron, dessen Lösung ausgewählt wurde, stecken Sie das CSS History leak im web-browser.
Die drei änderungen kümmern sich um layout-basierte Angriffe-timing-Angriffe schützt, und computed style-Attacken.
- layout-basierte Angriffe: Mozilla beschlossen, zu begrenzen, das styling, die getan werden kann, um besuchte links.
- timing-Angriffe schützt: beseitigt die Angriffe, zu unterscheiden, besuchte von noch nicht besuchten links durch die Messung der Zeit, die zum beheben dieser.
- berechnete Stil Attacken: Rückkehr besuchte Stil, wenn ein Skript versucht, um die berechneten Stil einen link.
Es ist noch nicht klar, Wann diese Ihren Weg in die Firefox web-browser, aber es ist wahrscheinlich, dass es schnellstmöglich umgesetzt.
Benutzer, die nicht warten wollen, können den Schutz Ihres Computers aus dem Leck durch die Einstellung “layout.css.visited_links_enabled option in about:config auf “false”, was zur Folge hat, dass kein styling für besuchte links angezeigt im web-browser.
Benutzer von allen web-Browsern, die testen wollen, was ein Skript herausfinden konnte über Ihre Surf-Gewohnheiten können besuchen Sie die Start-Panic-website.
Update:
Alle modernen Browser sind geschützt gegen diese Art von Angriffen, jetzt.
Die Webseite erwähnt sollte der Letzte Satz nicht angezeigt werden alle Websites, die Sie in der Vergangenheit besucht haben, wenn Sie mit einem modernen web-browser.
Es gibt keine Notwendigkeit mehr zu beschränken, das styling der besuchten links in Ihrem web-browser, aber können Sie noch tun, also, wenn Sie wollen.