SEO-эксперт показал, как кнопка Chrome может быть взломана, чтобы шпионить за пользователями

  1. Около Джеймс Галлахер

/>   В течение неизвестного периода времени браузер Chrome содержал уязвимость, позволяющую вредоносным веб-сайтам взломать кнопку «Назад»

/>

В течение неизвестного периода времени браузер Chrome содержал уязвимость, позволяющую вредоносным веб-сайтам взломать кнопку «Назад». Это было недавно продемонстрировано с поразительным эффектом экспертом по SEO Даном Петровичем из австрийской интернет-маркетинговой компании Dejan. Согласно его публичному раскрытию на веб-сайте Dejan, Петрович использовал тщательно разработанную концептуальную атаку, которая включала в себя код эксплойта, запущенный с его тестового сайта. Он объединил этот эксплойт с фальшивой страницей результатов поиска и олицетворением сайтов, найденных в этих результатах. Это позволило Петровичу шпионить за трафиком пользователей на олицетворенные версии сайтов своих конкурентов. Он мог записывать движения мыши, щелчки и печатать, среди прочего. Способ, которым эта атака развернулась, заключался в том, что сначала пользователь Chrome проводил поиск, связанный с веб-сайтом Петровича, с использованием Google. В какой-то момент этот пользователь мог бы затем нажать на веб-сайт Petrovic, который использовал эксплойт JavaScript для взлома кнопки Chrome назад. Если пользователь нажмет кнопку «Назад» на веб-сайте Petrovic, он будет перенаправлен на поддельную версию страницы результатов поиска, с которой он ранее перешел на свой сайт. Очень сложно, действительно. На этой странице с поддельными результатами поиска были ссылки на поддельные версии сайтов конкурентов Petrovic, использующие похожие доменные имена. Поскольку Петрович контролировал эти поддельные версии сайтов своих конкурентов, он мог следить за всем трафиком на эти сайты. Это включает в себя любые данные, введенные в формы на этих сайтах. Если бы у Петровича была мотивация, он мог бы потенциально записать любые пароли или номера кредитных карт, введенные на этих сайтах. Независимо от того, что эти сайты олицетворения использовали шифрование SSL, потому что он контролировал сайты, и, следовательно, мог захватывать расшифрованные данные.

Некоторые критикуют Петровича за то, что он вообще создал этот сайт для проверки концепции. Он, конечно, не следовал стандартному отраслевому протоколу для ответственного раскрытия уязвимостей поставщику. Как правило, исследователь безопасности сначала конфиденциально сообщает об уязвимости в браузере Chrome непосредственно Google, а не всему миру, как это делал Петрович на сайте Dejan. Петрович защищал свои действия через сайт Dejan, утверждая, что мы должны «больше заботиться о тех, кто делает неэтичные вещи и не пишет об этом».

Независимо от того, согласны ли вы с его методами, Петрович определенно обратил внимание на интересную атаку, о которой должны знать пользователи. Трудно сказать, исправит ли Google это. Даже если Google не решит эту проблему, вы все равно сможете защитить себя от этой атаки. Конечно, первая линия защиты - не нажимать на сомнительные сайты. Использование службы фильтрации URL или DNS, такой как OpenDNS, безусловно, может помочь, хотя на это не следует полагаться полностью. Надеемся, что, используя осторожные привычки просмотра, вы не попадете на страницу, содержащую этот вредоносный код эксплойта. Если вы это сделаете, вы все равно можете защитить себя, если вы настороже. В атаке Петровича, когда вы нажмете кнопку «Назад», вы попадете на поддельную версию страницы результатов поиска в Google. Это должно быть просто наблюдать, проверив адресную строку вашего браузера, чтобы увидеть, использует ли он google.com. Если в вашей адресной строке есть что-то, отличное от допустимого имени, например google [.] Evil [.] Com (скобки вставлены для очистки), вам необходимо немедленно закрыть вкладку браузера. Вы были перенаправлены на поддельную версию страницы результатов поисковой системы Google, и вам нужно сразу же выйти из нее.

К сожалению, Петрович не первый, кто связывается с кнопкой «Назад» браузера. Ряд теневых веб-сайтов с так называемыми советами и рекомендациями по SEO (поисковая оптимизация) опубликовали код, рекламирующий возможность перенаправить посетителя на произвольный веб-сайт при использовании кнопки «Назад». Эти изменчивые сайты советуют веб-мастерам использовать эти методы в качестве последнего шага, чтобы заставить пользователя что-то купить. Это печальное положение дел. Это также предполагает, что браузеры помимо Chrome также могут быть уязвимы для подобных атак.

Стоит отметить, что если вы уже находитесь на веб-сайте, который обслуживает вредоносный код, вы, возможно, уже стали жертвой другого типа атаки, не имеющей ничего общего с кнопкой «назад». Вполне возможно, что ваш первый признак в том, что ваша кнопка «назад» перенаправила вас куда-то странно. Но к тому времени вы уже могли стать жертвой какого-либо другого типа атаки. Если вы заметили какое-либо другое необычное поведение на вашем устройстве после нажатия кнопки «назад», предположите худшее. Возможно, вы уже стали жертвой атаки.

Петрович заявил, что он считает, что «манипулирование кнопкой« Назад »в Chrome не должно быть возможным в 2018 году». Он также считает, что сайты, использующие этот эксплойт, должны быть обнаружены и наказаны Google. Если такие сайты останутся в результатах поиска Google, он считает, что они должны быть помечены предупреждением о том, что они могут быть вредными.

Около Джеймс Галлахер

Джеймс Галлахер - этический хакер, музыкант и евангелист философского анархизма. Он является опытным тестером на проникновение, предоставляя консультации по симуляции противника для организаций по всему США. Джеймс недавно завершил 10 месяцев кочевого проживания в переоборудованном школьном автобусе со своей семьей, взламывая сети из пустыни. Вооруженный только своей гавайской гитарой и ноутбуком, он страстно желает лучшего мира, в котором отдельные люди и сообщества могут процветать без необходимости использования авторитарных моделей.

Похожие

Около
... за многие годы в области веб-разработки, управления веб-сайтами и SEO, чтобы помочь вам создать результаты онлайн, которые вы хотели бы видеть для своего бизнеса. Моя команда и я создали и работали со многими веб-сайтами на протяжении многих лет и помогли нескольким компаниям улучшить свое SEO и присутствие в Интернете. Свяжитесь со мной сегодня и давайте начнем разговор вокруг вас и ваших деловых целей. Дэвид проделал отличную
Как запятая
«Я знаю, это так тяжело, но ты должен продолжать, ну, как, идти! Ты должен выиграть это, как, ну, так, как, мы оба!» Это лайк когда персонаж, как, постоянно бросает слово «как» в свои предложения. Часто используемые персонажами-девочками-подростками, которые, например, немного тусклые ? И, как, конец каждого предложения, как, с восходящим
Как должна быть целевая страница SEO?
Чтобы ответить на этот вопрос, необходимо принять во внимание некоторые аспекты и идею о том, что не существует идеальной формулы, которая позволила бы вам повторить ее влияние на разные целевые страницы SEO со 100% гарантированным успехом. Создание страницы, которая позиционирует первую, не гарантирует, что, создав другую страницу с той же структурой для других результатов поиска, на той же странице, мы получим тот же результат. Даже если соревнование «вдохновлено»,
как оптимизировать SEO-блогспот
Теги заголовка - это первые слова, выделенные посетителями вашего сайта и поисковыми системами. По этой причине, если вы хотите оптимизировать SEO, то заголовок тега нельзя пропустить или то, что вы делаете, как на странице, так и за ее пределами, не будет работать оптимально. Чтобы лучше понять, как озаглавить SEO оптимизацию, вы можете узнать следующее обсуждение. Теги заголовка - это теги, которые есть в заголовке или субтитрах. Например, главы в учебнике. Вы увидите, что у каждой
15 отличных инструментов SEO, чтобы шпионить за конкурентами
Одно дело иметь отличный контент и продукты, но если вы не знаете своих конкурентов - все это ни к чему не приведет. Это ставит вопрос .. у вас действительно есть все время и силы в мире, чтобы выкопать грязь на ваших конкурентов? Нет? Я так и думал. Вот почему важно иметь арсенал инструментов, которые помогут вам в этом. К счастью для вас, есть несколько отличных ресурсов онлайн, которые помогут вам по-настоящему
Типы SEO стратегии
... занного контента и т. Д., И другие факторы, а не постраничные . Но, как я уже сказал, тип SEO, который мы делаем, зависит от типа страницы, которой мы хотим быть. Если мы вертикальный портал , то нас больше всего интересует то, чтобы мы оказались впереди компаний, которые мы собираемся зарегистрировать на нашем сайте. Принципиально, что когда наш целевой клиент ищет свою компанию в Интернете (что он и сделает, потому что мы все
Как онлайн PR может повлиять на SEO
Джейсон не типичный агент агентства. В возрасте десяти лет родители Джейсона оставили его дома одного. Он решил воспользоваться этой возможностью, чтобы проверить окрестности, и заметил, что там происходила распродажа гаражей. В течение часа, с помощью своей сестры, он выстроил всех своих малышей-шапочек (помните тех?) На лужайке перед домом, готовых к продаже.
A330-200 может быть решением для проблемы Окленда Malaysia Airlines
Недавно приобретенный парк самолетов A330-200 компании Malaysia Airlines может стать спасателем для маршрута Окленд-Куала-Лумпур. Malaysia Airlines обслуживает Окленд с A330-300 с 2015 года, когда она прекратила развертывание 777-200 из-за решения, связанного с реструктуризацией, по поэтапному отказу от флота 777. Тем не менее, A330-300 не является идеальным самолетом для Окленда-Куала-Лумпура, так как маршрут не соответствует дальности полета самолета, что приводит к ограничению полезной
Как реклама может повлиять на результаты органического поиска
Теоретически, все, что влияет на онлайн-поиск, может косвенно повлиять на позицию в поисковой выдаче. Несколько раз Google намекал на роль органического CTR и поисковых показов в рейтинге SERP. Более того, многие могут
Узнайте, как работает SEO 2016
M Теперь мы учимся работать в SEO 2016. Работает ли поисковая система Google в 2016 году так же, как в 2015 году? Этот вопрос может быть немного важным, мы знаем, как блоггер. Работа поисковой системы Google в 2016 году остается такой же, как и в прошлом году, или как она выглядит? Поэтому, если вы чувствуете необходимость узнать больше о том, как работать, о работающей
Как GDPR повлияет на SEO
... защите данных, которое будет направлено на изменение способа использования и защиты данных в обозримом будущем. Это регулирование рассматривается как один из самых больших шагов к контролю и защите данных в Интернете, который был одной из самых больших проблем на различных веб-сайтах, которые требуют пользовательской информации и личных данных. Прохождение GDPR рассматривается как своевременное событие, особенно с учетом разногласий Cambridge Analytica, которые затронули миллионы

Комментарии

Однако, может быть, вы хотите, чтобы они сканировались, чтобы обеспечить индексацию контента?
Однако, может быть, вы хотите, чтобы они сканировались, чтобы обеспечить индексацию контента? Возможно, вы хотите, чтобы они были просканированы, но знаете, что одни и те же продукты перечислены в разных группах и последовательности в разных категориях, и вы обеспокоены последствиями этого. Если бы вы только могли сказать Google: «Привет! Эти страницы являются постраничными списками, поэтому, пожалуйста, относитесь к ним соответствующим образом!». Это общий сценарий для многих сайтов,
Как это может быть более интуитивно отображено?
Как это может быть более интуитивно отображено? Чего следует избегать Добавление каждого звонка и свистка на ваш сайт может иногда сделать ваш сайт более быстрым, но каждый элемент будет добавлять время для загрузки вашего сайта. Более техническая и расширенная оптимизация на месте Стратегии внутренних связей Насколько полезен ваш сайт для людей, которые на самом деле посещают, должно иметь первостепенное значение в ваших
Как это может быть?
Как это может быть? Вместо того, чтобы существовать как отдельная функция, SEO расширился до общего навыка, универсально используемого среди различных ролей. Это означает, что, несмотря на то, что меньше SEO-специфических рабочих мест (которые, как правило, имеют начальный уровень - с соответствующей зарплатой), компании интегрируют навыки SEO-специалистов (и практики, которые они используют) в более широкие позиции в своей компании. Должно быть понятно, что SEO как практика,
Как долго может быть URL?
Как долго может быть URL? Действительно ли важно, как выглядит структура URL? В этой статье мы постараемся дать ответ. 1. Хорошие доменные имена и подкаталоги выберите хорошее доменное имя не следует недооценивать и, безусловно, может сыграть роль в SEO вашего сайта. Кроме того, логическая структура сайта всегда имеет значение. Предпочтительно использовать подкаталоги вместо поддоменов. Особенно
Может быть, вы хотите, чтобы куча отобранных продуктов для перепродажи?
Может быть, вы хотите, чтобы куча отобранных продуктов для перепродажи? Ну, мы можем помочь! Для получения дополнительной информации, пожалуйста, напишите нам по адресу [email protected]
Итак, как ваш бизнес может воспользоваться онлайн-обзорами, чтобы стимулировать продажи и повысить доверие и доверие?
Итак, как ваш бизнес может воспользоваться онлайн-обзорами, чтобы стимулировать продажи и повысить доверие и доверие? Хороший первый шаг - убедиться, что ваш бизнес включен в список самых популярных онлайн-платформ. Хотя это немного варьируется в зависимости от вашей отрасли, в целом принято считать, что Google является наиболее важной платформой для онлайн-обзора. Это связано с тем, что онлайн-обзоры, которые ваши клиенты отправляют через Google, отображаются в профиле
Как перейти от того, чтобы быть найденным к нажатию?
Как перейти от того, чтобы быть найденным к нажатию? Улучшение конверсий в вашем магазине, возможно, путем внедрения дополнительных модулей для увеличения конверсий. Вы обнаружите, что ваш потенциальный рынок не останавливается на соседе. Следуйте мастер-классу PrestaShop Академии ниндзя, улучшайте свою SEO-сторону
Как SEO может быть дешевым?
Как SEO может быть дешевым? Первый вариант, чтобы рассмотреть SEO как дешевый - тот, что выше. В краткосрочной перспективе это хорошо, но если вам нужно краткосрочное решение, мы советуем оставить SEO в стороне и подумать о лучших способах стимулирования продаж. Например, гостиницы Google AdWords или Facebook Ads , Второе - подумать о преимуществах в среднесрочной и долгосрочной перспективе. Кампания по оптимизации
Но как это может быть установлено, когда так много блогов заполнены пустыми, похожими на инструкции сообщениями?
Но как это может быть установлено, когда так много блогов заполнены пустыми, похожими на инструкции сообщениями? Иногда нам нужно забыть правила и просто писать хорошие вещи. Ваши читатели будут вам благодарны за это. Я создал бесплатный курс по созданию потрясающего блога, посмотрите его здесь: связанные с
Может быть, это должны быть видеоролики, пошаговые руководства или таблицы с техническими сравнениями?
Может быть, это должны быть видеоролики, пошаговые руководства или таблицы с техническими сравнениями? Персоны могут быть использованы в качестве контроля того, является ли контент релевантным и привлекательным, задавая такие вопросы, как «Хотел бы Ян? Будет ли он поделиться этой страницей? " Используйте персонажей, чтобы подумать о том, как вы можете создать отношения между вами и целевой группой. Подумайте о мотивах вашего человека и о том, как вы можете помочь ему достичь
Я имею в виду, может быть, он никогда не был в опасности с самого начала, но разве не парень, который должен был быть чеком?
Я имею в виду, может быть, он никогда не был в опасности с самого начала, но разве не парень, который должен был быть чеком? Он много проверял повешенного, особенно когда пытался покончить с собой, но Хоффману оставалось просто расслабиться в кресле. Это потеряло меня. Этот фильм был хорош, но я чувствую, что это поворотный момент для франшизы. Он пытался слишком много, и кровь была ме-хе,

Часто используемые персонажами-девочками-подростками, которые, например, немного тусклые ?
Вас действительно есть все время и силы в мире, чтобы выкопать грязь на ваших конкурентов?
Нет?
Помните тех?
2016. Работает ли поисковая система Google в 2016 году так же, как в 2015 году?
Работа поисковой системы Google в 2016 году остается такой же, как и в прошлом году, или как она выглядит?
Однако, может быть, вы хотите, чтобы они сканировались, чтобы обеспечить индексацию контента?
Как это может быть более интуитивно отображено?
Как это может быть?
Как долго может быть URL?