Vážná chyba v prohlížeči Edge: Útočníci mohou zobrazit falešné upozornění

Názory k článku

avatar
14. 12. 2016 10:31 | Microsoft Windows 10 Chrome 54.0.2840.99

Pokud můžete do kódu stránky nacpat JS který toto provádí, pak můžete uplně stejným způsobem dané stránce upravit DOM přímo a nahradit jej stejným hlášením jako je to smartscreenové.
To se pak samozřejmě dá cílit i na jiné prohlížeče než jen Edge.

Souhlasím  |  Nesouhlasím  |  Odpovědi (7)Zavřít odpovědi  |  Odpovědět
kazeasch  |  14. 12. 2016 11:51  |  Linux AppleMAC-Safari 5.0

Jak přesně by mělo dojít ke spuštění JS nad webem, který je správně odolný proti XSS?

Souhlasím  |  Nesouhlasím  |  Odpovědi (7)Zavřít odpovědi  |  Odpovědět
lemming  |  14. 12. 2016 13:00  |  Microsoft Windows 10 Chrome 54.0.2840.99

Vůbec mě to nepřekvapuje. Nedávno jsem narazil na chybu v Edge i já - když jsem v onBlur handleru na vstupním poli změnil CSS třídu na tagu, tak se při přechodu mezi políčky Edge dostal do nějakého divného stavu kdy políčko jako by bylo focusnuté ale vlastně nebylo. Když pak člověk začal psát na klávesnici, tak Edge spadnul a reloadnul stránku. V ostatních prohlížečích to fungovalo bez problémů, dokonce i v IE.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Gaspadlo  |  14. 12. 2016 15:49  |  Microsoft Windows 10 AppleMAC-Safari 5.0

Tak už to chápu - script specifický pro zobrazení upozornění, se dá provolat z jakékoliv HMTL DOM. Takže to můžou opravit zakázáním volání té js funkce s původem mimo jádro prohlížeče samotného. Čož je docela hloupá chyba, že se to dá takhle snadno spoofnout.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Zasílat názory e-mailem: Zasílat názory Můj názor

Aktuální číslo časopisu Computer

Speciál o přechodu na DVB-T2

Velký test herních myší

Super fotky i z levného mobilu

Jak snadno upravit PDF