Luka pozwalająca na taki atak na przeglądarkę jest bardzo stara i znana od ponad 10 lat, ale w zeszły czwartek dwaj badacze, Artur Janc i Łukasz Olejnik ujawnili kilka technik, które umożliwiają drastyczne przyśpieszenie i zwiększenie wydajności ataku. Pokazano również, jak można wykrywać kody pocztowe wprowadzane na strony z prognozami pogody, odkrywać zapytania wpisywane w popularne wyszukiwarki Google oraz Bing oraz sprawdzić, jakie artykuły przeczytał użytkownik na różnych popularnych portalach informacyjnych. Ich badania zostały przedstawione na konferencji Web 2.0 Security and Privacy 2010 w Kalifornii, a sam artykuł dostępny jest w na stronie konferencji ( PDF w języku angielskim ).
Usunięcie podatności na ten atak jest dość trudne, ponieważ wykorzystuje on pewne centralne założenia standardu HTTP. Jak na razie jedynie zespół rozwojowy Mozilli zapowiedział, że w wersji 4.0 przeglądarki Firefox luka ma zostać zamknięta. Miejmy nadzieję, że w jej ślady pójdą twórcy innych przeglądarek.
[Via The Register ]
Leszek Karlik
