The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В Google Chrome найдена уязвимость, позволяющая сайту опреде..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Google Chrome найдена уязвимость, позволяющая сайту опреде..."  +/
Сообщение от opennews (??) on 17-Мрт-12, 20:18 
Особенность реализации работы расширений в Google Chrome позволяет (http://blog.kotowicz.net/2012/02/intro-to-chrome-addons-hack...) определить какие расширения установлены у пользователя, из-за того что веб браузер позволяет любой веб странице выполнять запрос document.createElement(), в качестве аргумента для которого может выступать уникальный идентификатор расширения. Все эти идентификаторы можно загрузить из каталога расширений Google Chrome. Таким образом веб сайт, путем  проверки идентификаторов по списку, может увидеть все расширения, которые использует пользователь.


Демонстрацию работающего кода можно посмотреть здесь (http://koto.github.com/blog-kotowicz-net-examples/chrome-add...). Демонстрационная страница не покажет все установленные расширения, потому что автор кода добавил проверку только на некоторые самые популярные расширения, однако полный их список можно без труда загрузить с  данной страницы (https://chrome.google.com/webstore/category/extensions).


Следующий код демонстрирует реализацию этой уязвимости:


<font color="#461b7e">

   var detect = function(base, if_installed, if_not_installed) {
       var s = document.createElement('script');
       s.onerror = if_not_installed;
       s.onload = if_installed;
       document.body.appendChild(s);
       s.src = base + '/manifest.json';
   }
   detect('chrome-extension://' + addon_id_youre_after, function());</font>

Данная уязвимость приводит к тому, что заинтересованные веб сайты могут следить за пользователем, генерируя (http://panopticlick.eff.org/) достаточно уникальный идентификатор пользователя с учётом установленных расширений, даже если пользователь стирает все идентификационные cookie после работы с этим сайтом. Зная, какие расширения установлены, можно также организовать на них целенаправленную атаку.

URL: http://blog.kotowicz.net/2012/02/intro-to-chrome-addons-hack...
Новость: https://www.opennet.ru/opennews/art.shtml?num=33377

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


3. "В Google Chrome найдена уязвимость, позволяющая сайту опреде..."  +3 +/
Сообщение от Аноним (??) on 17-Мрт-12, 20:53 
Небольшой зондаж :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "В Google Chrome найдена уязвимость, позволяющая сайту опреде..."  +/
Сообщение от Дед Анон on 17-Мрт-12, 20:57 
В последнее время не знаю как реагировать на сообщения о найденных уязвимостях Chrome. То ли это хорошо что постоянно его совершенствуют и делают его более безопасным. То ли это плохо потому что находят очень много уязвимостей и может быть(хотя навряд ли) он вскоре станет таким же излюбленным уязвимым местом как в своё время IE.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "В Google Chrome найдена уязвимость, позволяющая сайту опреде..."  +2 +/
Сообщение от Аноним (??) on 17-Мрт-12, 21:01 
Много? Вы последние два секьюрити репорта Майкрософта видели?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "В Google Chrome найдена уязвимость, позволяющая сайту опреде..."  +/
Сообщение от ЙетЭназерАноним on 17-Мрт-12, 21:10 
Не, не видели. Не все ж тут админы.

И чо там пишут?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

45. "В Google Chrome найдена уязвимость, позволяющая сайту опреде..."  +/
Сообщение от красноглазик on 19-Мрт-12, 00:44 
http://dankaminsky.com/2012/03/18/rdp/
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

47. "В Google Chrome найдена уязвимость, позволяющая сайту опреде..."  –1 +/
Сообщение от Ваня (??) on 19-Мрт-12, 11:14 
И как давно Microsoft Corporation выкладывает отчёты по безопасности на dankaminsky.com?
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

48. "В Google Chrome найдена уязвимость, позволяющая сайту опреде..."  +3 +/
Сообщение от Andrey Mitrofanov on 19-Мрт-12, 11:19 
"--Так других же нет? --Вот никаких и не читайте." //Спасибо, профессор!
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

10. "В Google Chrome найдена уязвимость, позволяющая сайту опреде..."  +/
Сообщение от Аноним (??) on 17-Мрт-12, 21:38 
[*] Detected addon: Adblock Plus (Beta) (cfhdojbkjhnklbpkdaibdccddilifddb)
[*] Detected addon: Evernote Web Clipper (pioclpoplcdbaefihamjohnefbikjilc)
[*] Detected addon: Awesome Screenshot: Capture \u0026 Annotate (alelhddbbhepgpmgidjdcjakblofbmce)
[*] Detected addon: Firebug Lite for Google Chrome™ (bmagokdooijbeehmkpknfglimnifench)
[*] Detected addon: LastPass (hdokiejnpimakedhajhdlcegeplioahd)
[*] Detected addon: Xmarks Bookmark Sync (ajpgkpeckebdhofmmjfgcjjiiejpodla)
[*] Detected addon: Edit This Cookie (fngmhnnpilhplaeedifhccceomclgfbg)
[*] Detected addon: Torrtilla - torrent search (ehbecchiafonnbbggdfpfplnlhbehbeg)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "В Google Chrome найдена уязвимость, позволяющая сайту опреде..."  +/
Сообщение от Аноним (??) on 17-Мрт-12, 21:45 
Awesome Screenshot
Поржал. Кто то его использует? Не ужели никто не обратил внимание что при установке этот "адон" требует разрешение на доступ КО ВСЕМ ФАЙЛАМ НА КОМПЬЮТЕРЕ.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

17. "В Google Chrome найдена уязвимость, позволяющая сайту опреде..."  +/
Сообщение от Аноним (??) on 17-Мрт-12, 22:11 
Какую альтернативу предлагаешь?
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

21. "В Google Chrome найдена уязвимость, позволяющая сайту опреде..."  +/
Сообщение от Аноним (??) on 17-Мрт-12, 22:21 
> Какую альтернативу предлагаешь?

Кнопка Print Screen. Проверено 25 годами использования.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

30. "В Google Chrome найдена уязвимость, позволяющая сайту опреде..."  +/
Сообщение от Аноним (??) on 17-Мрт-12, 23:15 
Нажимать её 25 раз, чтобы сделать скриншот сайта? Увольте
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

33. "В Google Chrome найдена уязвимость, позволяющая сайту опреде..."  –2 +/
Сообщение от pavlinux (ok) on 18-Мрт-12, 01:27 
1 раз
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

34. "В Google Chrome найдена уязвимость, позволяющая сайту опреде..."  +1 +/
Сообщение от Аноним (??) on 18-Мрт-12, 01:43 
Не работает, если сайт не помещается в один экран по вертикали.
То, что ему надо, в хроме делается, как: CTRL-P -> PRINT TO PDF
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

37. "В Google Chrome найдена уязвимость, позволяющая сайту опреде..."  –1 +/
Сообщение от pavlinux (ok) on 18-Мрт-12, 15:24 
> Не работает, если сайт не помещается в один экран по вертикали.
> То, что ему надо, в хроме делается, как: CTRL-P -> PRINT TO
> PDF

Скриншот сайта делается через Ctrl+S.

А если "сайт не помещается в один экран по вертикали",
то это плохой сайт, не надо делать с него скриншоты. :)

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

41. "В Google Chrome найдена уязвимость, позволяющая сайту опреде..."  +/
Сообщение от CO2 on 18-Мрт-12, 19:21 
Opennet
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

43. "В Google Chrome найдена уязвимость, позволяющая сайту опреде..."  –1 +/
Сообщение от pavlinux (ok) on 18-Мрт-12, 20:45 
> Opennet

Опеннет не читают на калькуляторах.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

44. "В Google Chrome найдена уязвимость, позволяющая сайту опреде..."  +5 +/
Сообщение от Аноним (??) on 18-Мрт-12, 21:08 
Сенсационная новость: pavlinux не знает что такое вертикаль.
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

32. "В Google Chrome найдена уязвимость, позволяющая сайту опреде..."  +2 +/
Сообщение от Аноним 84702 on 17-Мрт-12, 23:22 
https://chrome.google.com/webstore/detail/cpngackimfmofbokmj...
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

40. "В Google Chrome найдена уязвимость, позволяющая сайту опреде..."  +1 +/
Сообщение от Аноним (??) on 18-Мрт-12, 18:35 
> Какую альтернативу предлагаешь?

Вывесить ssh, разрешить руту логон и сказать нам тут пароль. Тоже доступ ко всем файлам на компьютере, тоже ремотно, но менее через задницу.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

18. "В Google Chrome найдена уязвимость, позволяющая сайту опреде..."  –1 +/
Сообщение от Аноним (??) on 17-Мрт-12, 22:13 
Что-то я не вижу такого.
Это расширение может получать доступ к:
* Все данные на компьютере и посещаемых веб-сайтах
https://chrome.google.com/webstore/detail/alelhddbbhepgpmgid...
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

20. "В Google Chrome найдена уязвимость, позволяющая сайту опреде..."  +6 +/
Сообщение от Аноним (??) on 17-Мрт-12, 22:20 
->Все данные на компьютере<-
__^^^^^^^^^^^^^^^^^^^^^^^^__ Так заметнее?
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

35. "В Google Chrome найдена уязвимость, позволяющая сайту опреде..."  +1 +/
Сообщение от Avator (ok) on 18-Мрт-12, 03:21 
Они собственно отписались почему так происходит:
1. We use chrome's NPAPI (Which has the ability to access some local data) to work around a Chrome issue http://code.google.com/p/chromium/issues/detail?id=45395&nbs... may crash the extension  when you save a large ( >2M) screenshot.  The new version also delivers a much better "Saving screenshot" experience. If you still concern about privacy, you can install a lite version we designed specially for you http://bit.ly/iY6qPz  .

2. The  plugin has the ability to access your data, but it  never does it. It only access your screenshot data. Chrome shows the warning even if extensions do not access any private data. We are also normal internet users like you, we hate the bad behaviour.  We also believe in "Don't be evil".

И, ИМХО, хороший инструмент. Зря вы шум поднимаете.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

19. "В Google Chrome найдена уязвимость, позволяющая сайту опреде..."  +/
Сообщение от noname (??) on 17-Мрт-12, 22:17 
Это не баг. Это - фича.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "В Google Chrome найдена уязвимость, позволяющая сайту опреде..."  +/
Сообщение от ibat email(??) on 17-Мрт-12, 22:54 
Как этот код выполнить в браузере?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "В Google Chrome найдена уязвимость, позволяющая сайту опреде..."  +/
Сообщение от Аноним (??) on 17-Мрт-12, 23:12 
CTRL-C CTRL-SHIFT-J CTRL-V ENTER
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

31. "В Google Chrome найдена уязвимость, позволяющая сайту опреде..."  +/
Сообщение от ibat email(??) on 17-Мрт-12, 23:18 
а дошло. Спасибо
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

36. "В Google Chrome найдена уязвимость, позволяющая сайту опреде..."  +2 +/
Сообщение от Михрютка on 18-Мрт-12, 13:45 
О. Ребята придумали способ, как детектить адблок в браузере :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "В Google Chrome найдена уязвимость, позволяющая сайту опреде..."  +/
Сообщение от Аноным (ok) on 18-Мрт-12, 15:42 
Его и раньше легко детектить было, только с погрешностью. Да и этот способ с ней же, если используется стороняя прога.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

51. "В Google Chrome найдена уязвимость, позволяющая сайту опреде..."  +1 +/
Сообщение от paulus (ok) on 31-Мрт-12, 21:24 
Способ не только определять, но и обойти ;)
http://my-chrome.ru/2012/03/adblock-dlya-google-chrome-ne-sp.../
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

39. "В Google Chrome найдена уязвимость, позволяющая сайту опреде..."  –1 +/
Сообщение от Аноним (??) on 18-Мрт-12, 17:20 
>В Google Chrome найдена уязвимость

Да сколько можно-то уже, версий дофига, а толку - ноль! Вчера критические дыры, сегодня раскрытие установленных расширений.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

42. "В Google Chrome найдена уязвимость, позволяющая сайту опреде..."  +/
Сообщение от Аноним (??) on 18-Мрт-12, 20:15 
> Да сколько можно-то уже, версий дофига, а толку - ноль! Вчера критические
> дыры, сегодня раскрытие установленных расширений.

Используйте телнет. Может быть в нем не будет багов. Хотя гарантий не дам, извините.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

46. "В Google Chrome найдена уязвимость, позволяющая сайту..."  +/
Сообщение от arisu (ok) on 19-Мрт-12, 02:31 
> Используйте телнет. Может быть в нем не будет багов.

http://security.freebsd.org/advisories/FreeBSD-SA-11:08.teln...

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

49. "В Google Chrome найдена уязвимость, позволяющая сайту..."  +/
Сообщение от Аноним (??) on 19-Мрт-12, 12:18 
telnetd — это сервер
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

50. "В Google Chrome найдена уязвимость, позволяющая сайту..."  +/
Сообщение от arisu (ok) on 19-Мрт-12, 19:25 
> telnetd — это сервер

и что? это часть структуры, обеспечивающей функционирование телнета. я не вижу в оригинальном комментарии слов «telnet-клиент».

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

52. "Есть несколько способов чтобы обойти это"  +/
Сообщение от Rap Stolica email on 06-Июл-14, 17:34 
Есть несколько способов чтобы обойти это - http://rap-stolica.weebly.com/chrome.html
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру