Search the Community
Showing results for tags 'браузерах'.
-
Пользовательский интерфейс YouTube значительно изменился за последний год как на мобильных устройствах, так и на ПК. Однако недавние апдейты не только принесли популярному видеохостингу новый дизайн, но и создали проблемы пользователям некоторых браузеров. Как утверждает менеджер технических программ компании Mozilla Крис Петерсон (Chris Peterson), быстродействие YouTube в браузерах Firefox и Microsoft Edge примерно в пять раз ниже, чем в Chrome. Специалист уверен, что причиной замедления работы портала в сторонних по отношению к Google веб-обозревателях связано с использованием сервисом API Shadow DOM v0, поддержка которого присутствует только в Chrome. Shadow DOM v0 появился в YouTube лишь недавно. Его добавили во время одного из последних редизайнов, и в этом находится ключ к решению проблемы. Крис Петерсон в своём твиттере советует пользователям Firefox установить расширение YouTube Classic. Оно возвращает прежнее оформление сайта и отключает API Shadow DOM v0. Напомним, что на прошлой неделе Еврокомиссия оштрафовала Google почти на $5 млрд за то, что американский интернет-гигант требовал от производителей смартфонов обязательной предустановки его сервисов, а именно поискового сервиса и браузера Chrome. Станет ли история с замедлением YouTube поводом для новых санкций в отношении компании, покажет время.
-
Эксперты компании Aleph Security нашли метод обхода некоторых мер защиты от эксплуатации уязвимости Spectre v1, реализованных в современных браузерах. Они разработали PoC-код, с помощью которого смогли извлечь важные данные из защищенной области памяти браузеров Microsoft Edge, Apple Safari и Google Chrome. Атака оказалась неэффективной против Mozilla Firefox, поскольку в браузере реализованы иные защитные меры. Вариант Spectre v1 - единственная уязвимость из семейства Meltdown/Spectre, которую возможно проэксплуатировать через браузер. Меры по снижению риска атак Spectre v1 варьируются от браузера к браузеру, но в основном изменения включают функцию изолирования сайтов друг от друга для размежевания данных между сервисами (проекты на базе Chromium), снижение точности источников времени (performance.now()), отключение функции SharedArrayBuffer (Firefox, Edge) и пр. Однако исследователям удалось обойти ряд защитных мер и прочитать данные в памяти Chrome, Edge и Safari. Теоретически, с помощью атаки Spectre v1 возможно получить доступ к информации, которой обмениваются разные страницы и процессы браузера, например, к файлам cookie, сохраненным паролям и т.д. Извлечение данных с помощью экспериментального PoC-кода происходит довольно медленно, однако цель экспертов заключалась не в создании метода атаки, а в изучении эффективности защитных мер. По словам специалистов, защита существенно замедляет атаки Spectre v1, но недостаточно эффективна для их предотвращения, следовательно, нужны более надежные решения.
-
- представлен
- способ
- (and 5 more)
-
Большинство пользователей по-настоящему ненавидят вручную вводить логины и пароли в формы авторизации, особенно на мобильных устройствах. К счастью, в популярных браузерах существует функция автоматического заполнения, намного упрощающая процесс авторизации. Тем не менее, злоумышленники могут воспользоваться ею и обманным путем заставить жертву предоставить им свои данные.Финский разработчик Вильями Куосманен опубликовал на GitHub демо, показывающее, как атакующий может в своих целях воспользоваться функцией автозаполнения форм. Данный способ был впервые обнаружен еще в 2013 году исследователем из ElevenPaths Рикардо Мартином Родригесом, однако Google до сих пор не решила проблему.Представленный Коусманеном демо-сайт состоит из простой web-формы с двумя видимыми полями – для имени и электронного адреса. Остальные поля (для телефонного номера, названия организации, адреса, почтового индекса и пр.) скрыты от глаз пользователей. Когда жертва вводит свое имя и электронный адрес, невидимые для нее поля заполняются автоматически, и данные отправляются мошенникам.Злоумышленники могут также добавить скрытые поля для номера кредитной карты и другой платежной информации.Атака работает для целого ряда популярных браузеров, таких как Google Chrome, Apple Safari и Opera, а также для приложения LastPass. Исключением является Mozilla Firefox, где пользователи должны все формы заполнять вручную. Однако злоумышленники все равно могут обманом заставить их ввести свои данные.
-
- функция
- автозаполнения
-
(and 5 more)
Tagged with: