Sigurnosni stručnjaci upozoravaju na propust koji omogućuje "otimanje" cookiea u svim verzijama Internet Explorera i pristup zaštićenim stranicama. Za iskorištavanje propusta potrebna je određena razina socijalnog inženjeringa, odnosno žrtva mora "povući i ispustiti" objekt na ekranu.
Talijanski sigurnosni stručnjak Rosario Valotta tvrdi kako je otkrio novi propust i Internet Exploreru koji omogućuje potencijalnom napadaču krađu korisnikovih cookiea, čime mu je omogućeno da se prijavi na stranice zaštićene korisničkim imenom i lozinkom.
Za propust koji naziva "cookiejacking" Valotta tvrdi da je prisutan u svim verzijama Internet Explorera za sve verzije Windowsa, te omogućuje "otimanje" bilo kojeg cookiea za bilo koje internetske stranice. U svojoj demonstraciji propusta na sigurnosnim konferencijama Swiss Cyber Storm i Hack in the Box, Vallota je priznao da za je iskorištavanje potrebna određena razina socijalnog inženjeringa, odnosno žrtva mora "povući i ispustiti" objekt na ekranu kako bi cookie bio ukraden.
No također je istaknuo kako je vrlo lako postaviti odgovarajući zadatak na stranice koji će privući veliki broj posjetitelja da povuku i ispuste određeni objekt. Primjerice, on je na svoje stranice na Facebooku postavio sliku žene kojoj se može skinuti odjeća povlačenjem i puštanjem na određenu poziciju na ekranu, čime je uspio dobiti cookie posjetitelja za pristup njihovim profilima na Facebooku.
Microsoftovi predstavnici istaknuli su kako za sada ne vide veliki rizik od cookiejackinga, obzirom da je potrebna velika razina interakcije s potencijalnim žrtvama. Izvor: bug.hr
| Next > |
|---|
.png "Download Microsoft Office Professional Plus 2010 Beta")
.jpg "Download Microsoft Security Essentials")
