ITC Consult - Разработчиците Firefox ще спрат възможност за шпиониране на посетените линкове

Съществува достатъчно прост и в същото време сериозен проблем с използването на връзки и история във всички съществуващи браузъри. Например потребител посещава набор от сайтове и попада на страница на злосторник, който иска да узнае къде е бил потребителя. Това става изключително лесно – атакуващия поставя незабелязано списък с интересуващите го сайтове на страницата и след това използва атрибута за посещение на сайт ( стандартна възможност още от първата версия на HTML). По този начин лесно може да се разбере какви сайтове е посещавал потребителя по-рано, защото те ще имат състояние „посетени“ - с друг цвят са. Пример за подобна атака може да се види на debugtheweb.com. С помощта на стандартната функция на JavaScript getComputedStyle(), незабелязано за секунди може да се провери в списък от хиляди сайтове дали потребителя е посетител сайт от този списък.

Разработчиците от Mozilla са решили да отстранят тази „уязвимост“, която е неотменна част от стандарта HTML. Този проблем ще бъде решен по следните начини:

При атаки свързани с промяна на външния вид на посетената връзка. Стандарта позволява да се променят голямо количество атрибути на посетените връзки: цвят на фона и на самата връзка, цвят на запълване, граници и др. Разработчиците на Mozilla ще ограничат стиловете прилагани към посетените връзки.
Атаки основани на времеви закъснения. По принцип атакуващия може да разбере фактите за дадено посещение по времезакъснението с което уеб браузъра изобразява връзката. Разработчиците от Mozilla ще променят механизма за рендериране, за да не може да се различава връзката по времето на изобразяване на екрана.
CSS състоянието на връзките може да бъде определено с помощта на JavaScript. За в бъдеще Firefox ще връща резултати, че всички връзки са непосетени.

Разбира се информация изтича по много канали от един уеб браузър, но тези мерки ще спрат някои от пробойните. Нетърпеливите и параноични потребители могат да забранят прилагането на стилове върху посетени връзки (незабавно се спира този тип атаки), като променят в about:config layout.css.visited_links_enabled на false. Това е възможно във Firefox версия 3.5 и по-нови.