آسيب‌پذيری سرقت تاريخچه مرورگر

شماره: IRCNE2011121335
تاريخ: 16/09/90

ميشل زالوفسكي، مهندس امنيت گوگل و محقق آسيب پذيري، نشان داد كه چگونه به رغم دفاعي كه در حال حاضر در مرورگرهاي وب اجرا مي شود، هنوز سرقت تاريخچه مرورگر امكان پذير است.
سرقت تاريخچه يك نوع حمله است كه مي تواند وب سايت هايي را كه كاربر در گذشته بوسيله مرورگر خود آن لينك ها را بازديد مي كرده است، افشاء نمايد. به طور پيش فرض، تمامي مرورگرها لينك هاي از قبل بازديد شده را از لينك هاي بازديد نشده به طور متفاوت نشان مي دهند. مرورگرها اين كار را با توجه به تعاريفي كه در برگه هاي به سبك آبشاري (CSS) داخلي خود وجود دارند، انجام مي دهند.
سرقت تاريخچه مبتني بر CSS نه تنها حريم خصوصي قربانيان را نقض مي كند، بلكه در واقع مي تواند به هكرها براي انجام حملات جدي تري كمك نمايد.
تحقيق زالوفسكي به عنوان يك هشدار براي توليد كنندگان مرورگر است كه روش هاي جايگزين جستجوي تاريخچه نبايد فقط به خاطر اين كه در برخي از مواقع هيچ كس قادر به ارائه يك اجراي قابل اعتماد و عملي نبوده است، فراموش شود.