<strong id="ieuh4"><source id="ieuh4"></source></strong>

<code id="ieuh4"><sup id="ieuh4"></sup></code>
<th id="ieuh4"><pre id="ieuh4"></pre></th>

    <rp id="ieuh4"><acronym id="ieuh4"></acronym></rp>
    <dd id="ieuh4"></dd>

  • 研究可以揭示瀏覽器歷史記錄的4種新方法

    加利福尼亞大學圣地亞哥分校的最新研究表明,公開互聯網用戶瀏覽歷史的四種新方法。他們還展示了這些歷史記錄可以并可以用來針對各種攻擊的互聯網用戶的方式。這些攻擊中的大多數都是心理上針對性的,針對用戶所信任的細節,他們相信只有最親密的朋友和家人才能訪問。

    “我希望我們發布的某些攻擊的嚴重性將迫使瀏覽器供應商重新審視他們如何處理歷史數據,”研究作者Deian Stefan說,他是圣地亞哥大學雅各布斯工程學院計算機科學的助理教授。“我很高興看到Mozilla,Google和更廣泛的World Wide Web聯盟(W3C)社區的人們已經參與其中。”

    研究論文“重新瀏覽瀏覽器歷史”的作者將查看瀏覽器歷史記錄的四種新方法歸為“歷史嗅探攻擊”。這四種方法的兩種類別包括訪問鏈接攻擊和基于緩存的攻擊。這些研究人員用來測試其四種新攻擊的瀏覽器如下:

    經過測試的瀏覽器:

    •Chrome:容易受到基于Chromium的攻擊(成功執行4/4攻擊)

    •Firefox:成功執行4/4攻擊

    •邊緣:成功執行4/4攻擊

    •Internet Explorer(IE):成功執行4/4攻擊

    •ChromeZero: 4/4攻擊成功

    •勇敢:易受基于鉻的攻擊(成功2/4攻擊)

    •FuzzyFox:1/4攻擊失敗(Stone的訪問鏈接)

    •DeterFox:1/4攻擊失敗(Stone的訪問鏈接)

    • Tor瀏覽器:無歷史記錄,不受此研究的攻擊

    注意:下面的前三種攻擊是有關歷史的Visited-link攻擊,第四種是…不同。

    攻擊1:濫用CSS Paint API

    使用CSS Paint API,攻擊者可以利用以下事實:網站可以“進入瀏覽器的渲染管道并自己繪制HTML元素的一部分。”觀察結果可以記錄為網站訪問,并且攻擊者知道目標的歷史記錄,一頁一頁。

    攻擊2:濫用CSS 3D變換

    攻擊者將CSS 3D轉換植入頁面中,該頁面在訪問鏈接時會激活。這些3D轉換在實施,加載和重新繪制時(取決于用戶在訪問鏈接之前是否加載了頁面),可能變得“昂貴”(在處理器方面)。攻擊者通過JavaScript監視頁面的呈現性能,相對結果顯示訪問每個頁面-即歷史記錄。

    攻擊3:濫用SVG的填充色

    與Attack 2類似,SVG的填充色可用于跟蹤各個網頁上瀏覽器的相對性能。被訪問的選擇器會設置不同的獨特顏色,并且攻擊者的訪問將以超級漂亮的全彩顯示給攻擊者!

    攻擊4:對歷史記錄的字節碼緩存攻擊

    數據緩存的創建者可能并不打算針對惡意實體的最終用例,例如我們今天要談論的黑客攻擊。字節碼緩存可跟蹤Internet上網頁上的JavaScript代碼。如果多次訪問同一個網頁,或者使用相同的JavaScript代碼訪問了另一個網頁,則瀏覽器將調用上次訪問已存儲的代碼。這大大減輕了負載,但是又打開了用戶不想保留的存儲歷史記錄的門。

    他們想要我的歷史嗎?

    使用瀏覽器歷史記錄的現代攻擊將嘗試敲詐的消息作為目標用戶?,F代攻擊會找出用戶訪問銀行信息的特定登錄頁面,復制所述頁面,并將其呈現給所述用戶以遠程訪問。知道一個唯一的用戶訪問的確切網頁可以為攻擊者提供足夠多的方法來攻擊它們,跟蹤它們和/或收獲其數據,以及最終獲得其金錢。

    有關此主題的更多信息,請繼續閱讀圣地亞哥大學圣地亞哥分校的最新版本:雅各布斯工程學院。在那里,“這些新技術向攻擊者展示了您的瀏覽歷史記錄”演講引出了一系列其他資源,其中之一就是原始研究論文“重新瀏覽了瀏覽歷史記錄”。

    邁克爾·史密斯(Michael Smith),克雷格·迪瑟爾科恩(Craig Disselkoen),斯拉萬·納拉揚(Shravan Narayan),弗雷澤·布朗(Fraser Brown)和狄安·斯特凡(Deian Stefan)撰寫了《重新瀏覽歷史》一文。除布朗來自斯坦福大學以外,這些作者均來自圣地亞哥大學圣地亞哥分校。

    鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時候聯系我們修改或刪除,多謝
    亚洲26uuu在线观看_一个人在线观看的www_一本二本人妻高清无码_日韩精品人妻AV一区二区三区
    <strong id="ieuh4"><source id="ieuh4"></source></strong>

    <code id="ieuh4"><sup id="ieuh4"></sup></code>
    <th id="ieuh4"><pre id="ieuh4"></pre></th>

    <rp id="ieuh4"><acronym id="ieuh4"></acronym></rp>
    <dd id="ieuh4"></dd>