Технология CSS шейдеров позволяет воровать данные посетителей web-страниц
Исследователь по информационной безопасности рассказал об угрозах, исходящих от технологии CSS шейдеров.
Разработчики программного обеспечения таких компаний, как Google, Apple, Adobe, Mozilla и пр., которые применяют графическую технологию CSS шейдеров, подвергают пользователей своих продуктов рискам безопасности. Как заявил в своем блоге исследователь Адам Барт (Adam Barth), владельцы web-сайтов могут применяя недостатки данной технологии воровать историю обозревателя, учетные данные и другую конфиденциальную информацию своих посетителей.
Технология CSS шейдеров используется для обработки различных эффектов искажения, таких как колебание, керлинг и складывание. Принцип работы этой технологии заключается в том, чтобы предоставить разработчикам программный интерфейс, с помощью вызова которого можно выполнять сложные функции путем применения ресурсов видео карты, установленной на системе конечного пользователя.
"Ввиду того, что web-страницы могут отображать контент, который операторам web-сайтов просматривать запрещено, злоумышленник может проэксплуатировать CSS шейдер для чтения конфиденциальной информации с помощью временного канала... Например, web-страница может использовать CSS шейдер для того, чтобы определить личность посетителя через кнопку Like от Facebook", – сообщает исследователь.
Security Lab (15.12.2011 в 10:41) | вверх страницы | к списку новостей
|
|