Невозможно отучить людей изучать самые ненужные предметы.
Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3
Надо знать обо всем понемножку, но все о немногом.
Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы
Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)
Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода
Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5
Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости
Справочник от А до Я
HTML, CSS, JavaScript
Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы
Помогли мы вам |
Группа специалистов из Рурского университета в Бохуме и Мюнстерского университета прикладных наук опубликовала доклад, рассказывающий об уязвимостях ряда почтовых клиентов. Оказалось, некоторые десктопные клиенты весьма странно работают со ссылками типа mailto, что в итоге может привести к хищению локальных файлов, которые могут быть оправлены злоумышленнику в качестве вложений.
Корень проблемы заключается в том, как в уязвимых клиентах реализован стандарт RFC6068, описывающий URI-схему mailto. Напомню, что такие ссылки обычно поддерживаются почтовыми клиентами и браузерами, и нажатие на них приводит к открытию нового окна для составления электронного письма (или ответа), а не новую страницу или сайт.
Согласно RFC6068, ссылки mailto могут поддерживать различные параметры, которые могут использоваться для предварительного заполнения нового email-окна предопределенным содержимым. К примеру, ссылка вида Click me! откроет новое окно для создания письма, в котором адрес электронной почты получателя будет bob@host.com, темой будет значиться «Hello», а текст будет начинаться с «Friend».
Хотя RFC6068 имеет множество настраиваемых параметров, разработчикам обычно рекомендуется придерживаться лишь нескольких безопасных вариантов. Так, согласно свежему докладу, некоторые почтовые клиенты поддерживают весьма экзотические параметры, из-за чего их пользователи оказываются под угрозой.
В частности, речь идет о параметрах attach или attachment, которые позволяют ссылкам mailto открывать новые окна с уже вложенным файлом. В итоге злоумышленники могут отправлять жертвам письма, содержащие замаскированные ссылки mailto, или размещать вредоносные ссылки mailto на сайтах. При нажатии на такие ссылки конфиденциальные файлы могут автоматически добавляться во вложения к письмам.
Если пользователь не заметит прикрепленный файл, атакующий может заполучить конфиденциальные данные, включая ключи SSH и PGP, файлы конфигурации, файлы криптовалютных кошельков, пароли или важные бизнес-документы (при условии, что пути для этих файлов известных хакеру).
Исследователи протестировали несколько сценариев такой атаки:
В результате проверки 20 почтовых клиентов обнаружилось, что 4 из них уязвимы перед атаками через ссылки mailto (в настоящее время все уязвимости уже исправлены):
|
|