Apple, Safari'nin Web Arxiv sənədlərindəki zəifliyi düzəltməkdən imtina edir, çünki istifadə etmək üçün istifadəçi hərəkətləri tələb olunur
Metasploit proqram təminatçısı Joe Vennix, Safarinin veb arxiv fayl formatında bir boşluğun necə istifadə oluna biləcəyini izah etdi. Yazı Sürətli 7 Fevral ayında Apple -a bildirildikdən sonra, səhvin keçən ay 'wontfix' statusu ilə bağlandığını, bu da Apple -ın bu problemi həll etmək planının olmadığını göstərir. Bəs bu nədir və niyə belədir?
Safari -də, bir veb səhifəni saxlamağa gedirsinizsə, istifadə ediləcək format üçün seçimlərdən biri Veb Arxividir. Bir çox brauzerdə bir veb səhifəni yerli olaraq saxladığınız zaman, yalnız HTML mənbə kodunun özündən ibarətdir. Bu o deməkdir ki, hər hansı bir şəkil, quraşdırılmış video, əlaqəli üslub cədvəli və ya JavaScript itiriləcək. Yerli olaraq saxlanılan səhifənin bir nüsxəsini açdığınızda, səhifədəki mətndən və qırıq şəkillərdən çox şey göstərməyən əlavə məzmun yoxdur. Safari -nin Veb Arxiv formatı yalnız səhifənin HTML -ni deyil, əlaqəli hər hansı bir məzmunu saxlayaraq işləyir. Veb Arxivi faylını açdığınızda, bütün şəkillər, üslub və əlaqəli məzmun qorunaraq səhifəni əvvəlcə İnternetdə göründüyü kimi görəcəksiniz.
VPN Sövdələşmələri: 16 dollarlıq ömürlük lisenziya, 1 dollar və daha çox aylıq planlar
Safari -nin təhlükəsizlik modelində tapılan səhv, veb arxivindəki faylların hansı məlumatlara daxil ola biləcəyi ilə bağlı məhdudiyyətin olmamasıdır. Adətən apple.com kimi bir səhifə yalnız apple.com domeninə aid olan çerezləri oxumaqla məhdudlaşırdı. Kimi başqa bir domendən çerezləri oxuya bilmədi gmail.com . Bu vacibdir, çünki bütün çerezləriniz hər hansı bir veb sayt tərəfindən oxunaqlı olsaydı, zərərli bir saytın çerezlərinizi təcavüzkara geri göndərməsi, sonra istənilən sayda veb saytdakı hesablarınıza daxil ola biləcəyi mənasız olardı. Safari veb arxivləri vəziyyətində, zərərli bir veb arxivinin yalnız başqa bir sayt tərəfindən saxlanılan məzmuna deyil, həm də qurbanın kompüterindəki hər hansı bir fayla daxil olması mümkündür.
Bu qədər ciddi bir zəifliklə, Apple -ın niyə onu düzəltmək istəmədiyini düşünürsünüz. Cavab görünür ki, belə bir istismar istifadəçi hərəkəti olmadan həyata keçirilə bilməz. Zərərli .webarchive faylını yükləməyincə və açmadığınız təqdirdə əslində bundan təsirlənə bilməzsiniz. İstifadəçilər, İnternetdən qəribə sənədlər açmamaq (və ya bu mövzuda başqa bir yerdə) haqqında çoxdankı köhnə tövsiyələrdən istifadə edərək hücumdan qaça bilərlər. Bununla belə, bəzi insanlar hələ də bunu edirlər və bunu davam etdirəcəklər. Belə bir zəifliyin istifadəçilərə potensial təsirini nəzərə alsaq, əlbəttə ki, Apple -ın bir anda düzəltmək istədiyi bir şey kimi görünür.
kəpənək mənası
Bu səhvin necə işlədiyini və ya istismar edilə biləcəyini öyrənməklə maraqlanırsınızsa, Joe -nin blog yazısı bunun necə istifadə olunacağına dair bir neçə real dünya nümunəsini əhatə edir.
Mənbə: Sürətli 7
