http://www.pcworld.pl/news/106234.html
To art o Fx-ie, ale w uaktualnieniu pisza o Operze tez.
Pozdrawiam,
janbar.
)
Originally posted by janbar:
http://www.pcworld.pl/news/106234.html
To art o Fx-ie, ale w uaktualnieniu pisza o Operze tez.
Pozdrawiam,
janbar.
Było wczoraj w tym wątku, wprawdzie z innego źródła :
http://my.opera.com/polski/forums/topic.dml?id=177227&t=1171099330&page=1#comment1912896
Moze i bylo, ale takie rzeczy podaje sie w osobnych watkach. Ja napisalbym o tym juz w nocy z czwartku na piatek, ale napisalem na Jamie i nie skopiowalem tego tutaj.
Wazne, ze nad tym pracuja i dlatego nie bylo weekly wczoraj, ciekawe, czy puszcza meedweekly
Pozdrawiam,
janbar.)
PC World Komputer:
Obsługa języka JavaScript i protokołu zawiera błędy, umożliwiające uzyskanie dostępu do danych z dysku użytkownika. Odpowiednio przygotowany plik HTML pozwoli włamywaczowi przeglądać zawartość dysku twardego internauty, sprawdzać strukturę plików i katalogów, a także pobierać zawartość plików tekstowych.
Kiedy taki błąd może zostać wykorzystany? Muszą być spełnione tylko dwa warunki. Przede wszystkim, plik HTML musi zostać zapisany na dysk twardy i otworzony z lokalnego komputera w przeglądarce internetowej. To wymaganie łatwo uzyskać za pomocą sprytnego zachęcenia internauty do pobrania i otworzenia pliku. Drugim warunkiem jest włączona obsługa JavaScript w przeglądarce internetowej.
Sprawdziliśmy, że - inaczej niż sądził M. Zalewski - błąd dotyczy także przeglądarek Firefox 2.0 i Opera 9.1. Ustaliliśmy także, iż używając takiego sposobu ataku można czytać zawartość dysku twardego komputera pracującego pod Windows XP i Windows Vista.
Wnioski:
1- wyłączyć javascript, albo
2- darować sobie otwieranie stron z pamięci podręcznej.
Wygląda, że tyle wystarczy.