Se si utilizza Microsoft Internet Explorer attualmente, tutto ciò che si digita nella barra degli indirizzi del browser potrebbe essere perdita di siti.
Il problema è stato divulgato dal ricercatore di sicurezza Manuel Caballero martedì Rotto Browser web.
Quando uno script viene eseguito all’interno di un oggetto-tag html, la posizione in oggetto si confonderà e ritorno il percorso principale, invece della sua. Per essere precisi, verrà restituito il testo scritto nella barra degli indirizzi, in modo qualunque sia il tipo di utente ci sarà accessibile dall’utente malintenzionato.
Fondamentalmente, ciò significa che i siti possono eseguire uno script semplice per trovare ciò che l’utente digita nella barra indirizzi di Internet Explorer, mentre l’utente è sul sito.
È possibile controllare questo proof of concept pagina per scoprire se la tua versione di Internet Explorer o qualsiasi altro browser, è interessato dal problema.
Basta digitare qualsiasi cosa che ti passa per la mente in Internet Explorer barra degli indirizzi mentre siete sulla pagina, e premere il tasto Invio dopo. La pagina web è in grado di intercettare il processo di caricamento, ad esempio il caricamento di ricerca Bing, se non si digita un indirizzo, e visualizzare la query sulla pagina che carica.
Questa è la conferma che nulla vi può essere di tipo trapelato sul sito, se implementa tale script. I dettagli su come il ricercatore incappato nel bug sono pubblicati sul divulgazione post.
Internet Explorer gestione della posizione di oggetti quando iniettato “onbeforeunload” è viziata in quanto restituisce la posizione che il browser sta andando o che cosa è attualmente scritto nella barra degli indirizzi.
In altre parole, se vogliamo recuperare la posizione.href dell’oggetto, mentre l’utente sta lasciando la pagina principale, saremo in grado di conoscere ciò che è stato digitato nella barra degli indirizzi, o, se l’utente fa clic su un link che ti farà conoscere l’indirizzo del link che il browser che si sta andando per.
Ecco!!! Ora cercheremo di recuperare l’oggetto posizione quando l’utente è in partenza e sapere esattamente che cosa ha digitato nella barra degli indirizzi. Non deve essere un URL completo, per esempio, se l’utente digita le parole nella barra degli indirizzi, che verrà automaticamente convertito a una query di ricerca URL (Bing per impostazione predefinita su IE) che può ovviamente essere completamente leggere!
Ecco un video dimostrativo che mette in mostra la vulnerabilità in Internet Explorer:
Leggi anche: un Primo Sguardo: spegnere le Luci per Microsoft Bordo
Ho testato questo nella versione più recente di Internet Explorer in Windows 10, e si è interessato dal problema.
Non c’è alcuna soluzione giusta ora per proteggere ciò che si digita siano diffusi in Internet Explorer. Le due opzioni che hai sono per essere molto attenti quando si tratta di entrare qualcosa nella barra degli indirizzi del browser, o di utilizzare un browser diverso fino a quando Microsoft non consente di risolvere il problema.