Alle web-browsere i øjeblikket sårbare over for en CSS-historie leak, som gjorde det muligt for angribere at teste, om en bestemt hjemmeside blev besøgt af en bruger i en browser, der bruges til at oprette forbindelse til webstedet.
CSS lækage gør brug af en funktion af CSS, der farver besøgte og ikke-besøgte links på en anden måde. Alle angriberen skal gøre, er at vise en enorm liste af mulige steder på en side, og se hvordan det link farve, der ligner at se, om steder der er blevet besøgt.
Dybest set, en enorm liste af links er tilføjet til en side (det kan være skjulte). Browseren bruger en anden farve for besøgte links, og scriptet på webstedet bare behov for at kontrollere, hvilken af de links der matcher denne farve for at vide, at brugeren gik til stedet før.
Scripts tester i øjeblikket mere end 200K Webadresser per minut, som bør være nok til at skabe en solid profil på næsten alle web-brugeren.
Nogle faktorer afhjælpe det problem, som at rydde historie regelmæssigt.
Mozilla udviklere nu er kommet op med en løsning på det problem, der gælder tre ændringer til den måde, links og er indrettet i web-browseren.
Mozilla Stik CSS Historie Lækage
Mozilla blog har en temmelig lang artikel op med tekniske detailsm som gør David Baron, hvis løsning blev valgt til at sætte CSS Historie lækage i web-browser.
De tre ændringer tage sig af layout-baserede angreb, timing-angreb, og beregnede style-angreb.
- layout-baserede angreb: Mozilla besluttet at begrænse den styling, der kan gøres for besøgte links.
- timing-angreb: eliminerer angreb at skelne besøgte fra ikke-besøgte links ved at måle den tid, det tager at løse dem.
- beregnet style-angreb: returnerer ubesøgt stil, hvis et script forsøger at få den beregnede stil et link.
Det er endnu ikke klart, hvornår dette vil gøre sin vej ind i Firefox web browser, men det er sandsynligt, at det snart vil blive gennemført.
Brugere, der ikke ønsker at vente, kan beskytte deres computer fra lækagen ved at indstille “layout.css.visited_links_enabled mulighed i about:config til false”, som har den konsekvens, at ingen styling for besøgte links, der vises i webbrowseren.
Brugere af alle web-browsere, der ønsker at afprøve, hvad et script kunne finde ud af, om deres vaner, kan du besøge Starte Panik hjemmeside.
Opdatering:
Alle moderne browsere er beskyttet mod disse former for angreb nu.
Den hjemmeside, der er nævnt i den sidste sætning, bør ikke vise nogen websteder, du har besøgt, hvis du bruger en moderne web-browser.
Der er ikke længere noget behov for at begrænse styling af besøgte links i din webbrowser, men du kan stadig gøre det, hvis du ønsker.