CSS exploit aneb proč na webu nemáme soukromí
Tvorba specifikací je odpovědná věc. Jednou vytvořené specifikace budou platit roky a s každou chybou, která se do nich dostane, se můžou potýkat celé generace.Chyby se do specifikací skutečně dostávají a často jsou neškodné, že si jich všimnou jen vývojáři prohlížečů, ale běžný webdesigner si s nimi hlavu neláme.Jen opravdu výjimečně se objeví chyba, která má dopad až na koncového uživatele. Toho, který sedí v teple u svého prohlížeče, pohodlně si kliká a o zkratkách CSS nebo HTML nemá ani potuchy.Největší chyba webových specifikacíMluvím teď o chybě všech chyb, o tzv. CSS exploitu. Popravdě si myslím, že se jedná o historicky největší chybu, která se kdy do webových specifikací dostala. A přitom základní myšlenka vypadá zcela nevině, citujme z původní specifikace CSS1, odstavec 2.1: User agents commonly display newly visited anchors differently from older ones. In CSS1, this is handled through pseudo-classes on the "A" element:A:link { color: red } /* unvisited link */A:visited { color: blue } /* visited links */Myslíte, že zavedení pseudotříd link a visited nemůže mít pro uživatele neblahé následky? Pokud ano, tak se šeredně mýlíte. Stejně tak se zmýlili i tvůrci CSS1. I když těžko jim to mít za zlé, v letech 1994-1996, kdy kaskádové styly přicházely na svět, ještě Web nebyl plný bezpečnostních problémů, a jak by taky mohl být, když samotný JavaScript byl teprv v plenkách (objevil se koncem roku 1995).Dnes mi o CSS exploitu vyšel článek, pokud jste o CSS exploitu dosud neslyšely a pokud si myslíte, že na Webu existuje soukromí, doporučuji si ho přečíst:Pokud si myslíte, že stránka, kterou právě čtete, o vás nemůže nic zjistit, tak se mýlíte. S jistou pravděpodobností by pomocí tzv. CSS exploitu dokázala odhadnout, jaké vyhledávače používáte, které e-shopy navštěvujete (včetně kategorií, které vás zajímají), zda používáte internetové bankovnictví nebo PayPal, jestli nenavštěvujete politicky nekorektní stránky a mnohem víc.Více se dočtete v článku CSS exploit a neexistující soukromí na webu.
Tvorba specifikací je odpovědná věc. Jednou vytvořené specifikace budou platit roky a s každou chybou, která se do nich dostane, se můžou potýkat celé generace.Chyby se do specifikací skutečně dostávají a často jsou neškodné, že si jich všimnou jen vývojáři prohlížečů, ale běžný webdesigner si s nimi hlavu neláme.Jen opravdu výjimečně se objeví chyba, která má dopad až na koncového uživatele. Toho, který sedí v teple u svého prohlížeče, pohodlně si kliká a o zkratkách CSS nebo HTML nemá ani potuchy.Největší chyba webových specifikacíMluvím teď o chybě všech chyb, o tzv. CSS exploitu. Popravdě si myslím, že se jedná o historicky největší chybu, která se kdy do webových specifikací dostala. A přitom základní myšlenka vypadá zcela nevině, citujme z původní specifikace CSS1, odstavec 2.1: User agents commonly display newly visited anchors differently from older ones. In CSS1, this is handled through pseudo-classes on the "A" element:A:link { color: red } /* unvisited link */A:visited { color: blue } /* visited links */Myslíte, že zavedení pseudotříd link a visited nemůže mít pro uživatele neblahé následky? Pokud ano, tak se šeredně mýlíte. Stejně tak se zmýlili i tvůrci CSS1. I když těžko jim to mít za zlé, v letech 1994-1996, kdy kaskádové styly přicházely na svět, ještě Web nebyl plný bezpečnostních problémů, a jak by taky mohl být, když samotný JavaScript byl teprv v plenkách (objevil se koncem roku 1995).Dnes mi o CSS exploitu vyšel článek, pokud jste o CSS exploitu dosud neslyšely a pokud si myslíte, že na Webu existuje soukromí, doporučuji si ho přečíst:Pokud si myslíte, že stránka, kterou právě čtete, o vás nemůže nic zjistit, tak se mýlíte. S jistou pravděpodobností by pomocí tzv. CSS exploitu dokázala odhadnout, jaké vyhledávače používáte, které e-shopy navštěvujete (včetně kategorií, které vás zajímají), zda používáte internetové bankovnictví nebo PayPal, jestli nenavštěvujete politicky nekorektní stránky a mnohem víc.Více se dočtete v článku CSS exploit a neexistující soukromí na webu.
Související články
Jak je to se soukromím na webu? Jsou uživatelé chráněni nebo mají jen falešný pocit bezpečí? Dnešní článek je o chybě, která se dostala do webových specifikací, dodnes v nich setrvává a nejspíš tam zůstane nadobro. Webové prohlížeče, které se jimi řídí, tak vystavují část uživatelova soukromí na veřejnost.
16. června 08, 12:06
Root.cz
Jak je to se soukromím na webu? Jsou uživatelé chráněni nebo mají jen falešný pocit bezpečí? Dnešní článek CSS exploit a neexistující soukromí na webu na Root.cz je o chybě, která se dostala do...
16. června 08, 02:06
Lupa.cz
Pro dnešní glosu jsem si rozhodl položit jednoduchou otázku - Proč se ještě nedočkali Češi na satelitu žádného HD kanálu? Programy ve vysokém rozlišení se již bezpečně zabydlely v IPTV a koketují už také s digitálním kabelem. Na satelitu ale pořád nic. Jakoby si z nás stále dělal někdo legraci. Tu nás nechala na pár měsíců mlsnout Nova ze své mističky, poškádlila nás i polská platforma "n". A my stále čekáme...
21. dubna 08, 08:04
DigiZone.cz
Princip je velice jednoduchý. Robot prohledává internet a snaží se dostat k souborům webových serverů. Prolomení hesla do FTP poslouží dokonale, protože potom už stačí pouze změnit HTM/HTML dokumenty.
27. listopadu 07, 12:11
Weblogy.cz
Kamarád měl navštěvovaný web. Hodně navštěvovaný web. To je ale pryč. Proč mu klesla návštěvnost?
Článek, který vás seznámí s výhodami Jabberu a důvodem, proč ne ICQ ...
28. října 07, 12:10
SOOM.cz
Martin Snížek používá na organizaci času Outlook, a v tom se s ním zcela shoduji. Microsoft Office Outlook
2007 na Windows Vista (či alespoň Microsoft Office Outlook 2003 na
Windows XP s integrovaným Windows Desktop Search) je mimořádně
mocný nástroj.
Outlook.. (1496 slov)
TWIMTBP je značka pro partnerský program NVIDIE, který AMD/ATI zcela postrádá. Pokud si spustíte nějakou novou hru, 90% z nich bude mít v úvodu reklamu "NVIDIA - The Way It’s Meant To Be.. (400 slov)
Nevím kdo z Vás kdy používal program gFTP, který je standartním ftp klientem Gnome, a jaké s ním máte zkušenosti, ale můj pohár trpělivosti s ním začíná přetékat. To, že spadne když mu dám přenést moc (řádově stovky) souborů na server ještě pochopím, to že se zničeho nic odpojí a nedokáže připojit zpátky taky, ale to, že když ho nechám v nečinnosti asi pět minut a on totálně zamrzne tak, že ho musím sestřelit to už je trochu moc....
10. listopadu 07, 01:11
abclinuxu - blogy
Přepis dotazů z prezentace hry – výtah z dii.netSnaží se zaměřit na znovuhratelnost, kooperativnost, epické bitvyNáhodné dungeony a prostředíBudou vyšší obtížnosti jako v d2Náhodné adventury – zcela nová vlastnostLze
29. června 08, 01:06
dobreblogy.cz -
O autorském právu jsem zde již psal. Kritizoval jsem přístup starých mediálních společností k novým digitálním možnostem. Piki mi tehdy napsal, že jsem utopický socialista. A že když neukážu, jaké že jsou ty nové obchodní modely, neměl bych se do diskuse vůbec pouštět. Neuplynulo mnoho času a jeden mediálně vřele přijatý alternativní model se objevil. [...]]
20. října 07, 12:10
jilm.cz
Pohled na mapu České republiky ve světle volebních výsledků, mě nadmíru potěšil. Tady jsou některé mé důvody, proč jsem volil levici.
20. října 08, 07:10
Linkuj.cz
Inteligentní mobil je pro mě každý, který akceptuje mou volbu aplikací a nenutí mě používat jen to, co chtěl výrobce. To splňují všechny přístroje s platformami Windows Mobile, Symbian UIQ, Symbian S60 a podobně. Rozhodně to ale nesplňuje iPhone a jeho OS X. Ačkoliv mu spoustu zajímavých funkcí nelze upřít, tento rys inteligentních mobilních telefonů [...]
Okurková sezóna udeřila. Na Lupě se objevil článek Poznejte návštěvníky svého webu, který ve skutečnosti o poznávání návštěvníků webů nehovoří. V zbyt ...
9. červenece 07, 12:07
Weblogy.cz
Nad tím si lámou hlavu naši vědci v laboratořích. (Jeden čas jsme používali předpovědi od naší sousedky věštby, ale to také nefungovalo). Než tedy výzkumníci přijdou se novým detektorem 2.0, který postačí namířit na první stranu nabídky pro klienta,...
21. dubna 08, 06:04
Blog.lupa.cz
Len sa nechajte inšpirova?:)
20. května 08, 08:05
SOOM.cz
Před časem tu vyšel Rootůvčlánek o root-dreamcar s vrtulí na podvozku. Nehodlám ten koncept kritizovat,moje znalosti fyziky postupně degenerují a stává se z nich možná lepšíúroveň ZŠ.
21. dubna 08, 06:04
dobreblogy.cz -
Exploit na šest měsíců známou XSS zranitelnost ve webmailu Volny.cz.
12. října 07, 12:10
SOOM.cz
Dva zajímavé pluginy pro prohlížeč Firefox, pomocí nichž můžete snadno otestovat zabezpečení svého webu pro útok typu SQL injection a náchylnost na XSS.
9. dubna 08, 08:04
Linkuj.cz
