Um galego no Império Pequeno

Além da linha inimiga

December 15th, 2006 at 11:34 am

Detectando o teu login com Firefox

Se um site malicioso quer aproveitar um ataque do tipo CSS ou CSRF, pode-lhe ajudar saber se a ‘vítima’ tem nesse momento umha sessom aberta em -ponho por caso- Google, Hotmail, Yahoo, Blogger ou Flickr, por ponher alguns exemplos.

Login

Pois Jeremiah Grossman atopou um jeito de detectar se tes sessom aberta nalgum desses sites, sem mais que analisar os erros devoltos por Javascript…


Segundo Grossman, o sistema funciona com Firefox 1.5-2.0 e Javascript activado sobre Windows XP, Mac OS X ou Linux.

Está disponível umha demonstraçom (pouco fiável, porque nom funciona bem com Gmail, Google… ) que trata de comprovar a vulnerabilidade sobre sitios conhecidos (parece funcionar melhor com as contas de Yahoo, por exemplo), mas nom seria difícil mudar o código engadindo “firmas” para detectar o login específico de qualquer outra página ou serviço.

Lido em Kriptópolis
Fonte original: Login State Detection in Firefox

-

Comments are closed.