|
|
В почтовом сервисе популярного веб-портала Excite выявлены уязвимости, с помощью которых можно похитить, то есть переоформить на свое имя, почтовые ящики пользователей. На сайте Vnunet.com приводится краткое описание этой дыры в безопасности. Когда человек, желающий воспользоваться своей веб-почтой, логинится в систему, начинается сессия, которая представляет из себя страничку с уникальным URL (интернет-адресом). Посылая html-сообщение, например, с картинкой, которая находится на другом сервере, злоумышленник может узнать этот URL из поля HTTP_REFERRER (обычно используется, чтобы узнать, откуда посетитель зашел на страничку) в HTTP-заголовке. После этого требуется лишь вставить это значение в строку браузера для адреса и нажать ввод. Об этой уязвимости уже сообщалось в листе рассылок bugtraq и на сайте Eyeonsecurity.net, но Exсite пока никак не отреагировал на это. Для предотвращения проникновения в почтовый ящик рекомендуется использовать безопасное (HTTPS) соединение при работе с веб-почтой на Exсite. В этом случае URL не пересылается. Источник: Журнал "Компьютерра" |
|