Nechroustá vám někdo sušenky?

Minulý týden byla odhalena chyba Internet Exploreru, která umožňuje zpřístupnit cookies jiných serverů prostřednictvím JavaScriptu.
Minulý týden byla odhalena chyba Internet Exploreru, která umožňuje zpřístupnit cookies jiných serverů prostřednictvím JavaScriptu. Chyba spočívá ve způsobu, jakým Internet Explorer určuje cookies pro konkrétní doménu. Internet Explorer si totiž prohlédne adresní řádek a jako jméno domény bere text oddělený tečkami. Bohužel jeho problém je v tom, že k zadání URL lze použít i zástupné znaky, lomítko se dá tedy vyjádřit také jako %2F, otazník jako %3F a podobně. Lze tedy zadat text ve formátu:

http://www.peacefire.org%2fsecurity%2fiecookies%2fshowcookie.html%3F.amazon.com

a Internet Explorer to pochopí jako adresu z domény amazon.com a bude tak při požadavku na cookie vracet cookie serveru amazon.com. Na tento problém upozornil server Peacefire, kde najdete další popis této díry.

Tato chyba se dá využít pouze v rámci JavaScriptu (nebo jiného skriptovacího jazyka na straně klienta), serveru je adresa předávána ve správném tvaru. Nicméně je možné a jednoduché připravit stránku, která přes JavaScript získá informace z cookie a předá je již nějaké stránce na straně serveru. Tato JavaScriptová stránka může být navíc schována do téměř neviditelného IFRAME s velikostí 1x1 pixel, takže si vůbec ničeho nemusíte všimnout.

Autor takové zákeřné stránky může získat informace jen dotazem na konkrétní cookie, nemůže vzít všechny cookies na vašem počítači.

Do cookies ale většina serverů neukládá citlivé informace umožňující přístup k vašim osobním údajům. Například naše Vltava vyžaduje vždy ověření přístupu k podstatným informacím heslem a i v případě, že by někdo vaše cookie zcizil, nebude mu to moc platné.

Microsoft pracuje na opravě, ale zatím ji k dispozici nemá. Postiženy jsou všechny verze Internet Exploreru pro Windows. Doporučuji vám tedy nahlédnout do vašeho adresáře s cookies c:\windows\cookies, popřípadě ve složce s vaším uživatelským profilem a podívat se, zda některé z cookies obsahují informace, které byste o sobě neradi dávali veřejně najevo, popřípadě zkontrolovat, zda významné servery neumožňují pomocí cookies přístup k citlivým osobním informacím. V případě jakýchkoli pochybností doporučuji vypnout JavaScript a počkat si na opravu.

Diskuze (1) Další článek: Panasonic má také vlastní MP3man

Témata článku: Microsoft, Internet, Windows, Internet Explorer, Cookies, Jednoduchý tvar, Významná složka, Osobní profil, Jednoduchá oprava, Sušenky, NEC, Odhalená chyba


Určitě si přečtěte

WhatsApp konečně umožní smazat velké soubory z konverzací, aby nezabíraly místo
Vladislav Kluska
WhatsAppFacebookInstant Messaging
AMD uvádí grafické karty Radeon RX 6800, 6800 XT a 6900 XT. Útočí přímo na modely od Nvidie

AMD uvádí grafické karty Radeon RX 6800, 6800 XT a 6900 XT. Útočí přímo na modely od Nvidie

** AMD představilo tři nové grafické karty ** Všechny s architekturou RDNA2, kterou používají i PS5 a Xbox Series ** Karty útočí přímo na GeForce RTX 3000

Karel Javůrek | 78

Karel Javůrek
Radeon RX 6000Grafické kartyAMD
Vybrali jsme 12 programovatelných hraček a stavebnic pro děti a jejich rodiče

Vybrali jsme 12 programovatelných hraček a stavebnic pro děti a jejich rodiče

** Získejte děti pro matematiku a základy techniky ** Kupte jim hračku nebo stavebnici, které vdechnou vlastní život ** Vybrali jsme stavebnice pro malé caparty i budoucí experty

Jakub Čížek | 10

Jakub Čížek
Stavebnice
Uživatelé hlásí problémy s jednou z listopadových záplat pro Windows 10
Karel Kilián
Windows UpdateAktualizaceWindows 10
Jak v prohlížeči vypnout oznámení zasílaná webovými stránkami

Jak v prohlížeči vypnout oznámení zasílaná webovými stránkami

** Obtěžují vás neustálé dotazy webů, zda chcete zobrazovat oznámení? ** Můžete je zakázat, a to jak kompletně, tak i pro jednotlivé stránky ** Připravili jsme návody pro Chrome, Firefox, Edge a Operu

Karel Kilián | 11

Karel Kilián
Jak na InternetTipyProhlížeče
Microsoft Defender je jeden z nejlepších antivirových programů, tvrdí výsledky AV-TESTu
Karel Kilián
Windows DefenderAntivirusWindows 10
10 míst na mapách Googlu, která nesmíte vidět. Nahradily je čtverečky

10 míst na mapách Googlu, která nesmíte vidět. Nahradily je čtverečky

** Deset míst, které nesmíte vidět ve webových mapách ** Jsou to letiště, základny i elektrárny ** Nejvíce míst tají Francie

Jakub Čížek | 21

Jakub Čížek
Mapy GoogleMapy
Air Bank, Fio banka a MONETA zakládají alianci pro bankovní identitu
Jakub Čížek
BankaČeskoeGovernment

Aktuální číslo časopisu Computer

Jak prodloužit výdrž notebooku

Velké testy: gamepady a inkoustové tiskárny

Důkladný test Sony Playstation 5