Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Araştırmacılar 14 yeni veri çalan web tarayıcısı saldırısı keşfetti

Araştırmacılar 14 yeni veri çalan web tarayıcısı saldırısı keşfetti

Ruhr-Universität Bochum (RUB) ve Niederrhein Uygulamalı Bilimler Üniversitesi’nden BT güvenlik araştırmacıları, Google Chrome, Microsoft Edge, Safari ve Mozilla Firefox dahil olmak üzere modern web tarayıcılarına karşı 14 yeni ‘XS-Leak’ siteler arası sızıntı saldırısı türü keşfetti.

Bu tür yan kanal saldırılarına ‘XS-Leaks’ denir ve saldırıların web tarayıcılarındaki ‘aynı kaynaklı’ politikayı atlamasına izin verir, böylece kötü amaçlı bir web sitesi kullanıcının bilgi girdiği güvenilir bir web sitesinden arka planda bilgi çalabilir.

“XS-Leak’in prensibi, kullanıcılar hakkında diğer web uygulamalarındaki verileri, yerel ortamları hakkındaki ayrıntılar veya bağlı oldukları iç ağlar gibi hassas bilgileri ortaya çıkarmak için web’de bulunan bu tür yan kanalları kullanmaktır,” diye açıklıyor. XS-Leaks wiki.

Örneğin, bir XS-Leak saldırısı, bir arka plan sitesinin e-posta gelen kutusu içeriğini web postasına erişmek için kullanılan etkin bir sekmeden hortumlayarak kullanmasına yardımcı olabilir.

XS-Leak işlemi
XS-Leak işlemi
Kaynak: XSinator

Siteler arası sızıntılar yeni değil, ancak araştırmacıların belirttiği gibi, hepsi XS-Leaks olarak tanımlanmadı ve sınıflandırılmadı ve temel nedenleri belirsizliğini koruyor.

Araştırmaları, yeni XS-Leak’leri sistematik olarak aramayı, potansiyel azaltmaları değerlendirmeyi ve genellikle nasıl çalıştıklarını daha iyi anlamayı amaçlamaktadır.

Yeni XS Sızıntıları Bulma

Araştırmacılar ilk olarak siteler arası sızıntıların üç özelliğini belirledi ve büyük bir web tarayıcısı kümesi için tüm ekleme yöntemlerini ve sızıntı tekniklerini değerlendirdi.

Tüm XS-Leak’lerin üç ana bileşeni dahil etme yöntemleri, sızıntı teknikleri ve tespit edilebilir farklılıklardır.

Yukarıdakilere dayalı bir model oluşturduktan sonra, araştırmacılar 14’ü yeni (aşağıda artı işareti ile işaretlenmiş) olmak üzere 34 XS-Leak buldu.

Çalışmada tanımlanan tüm XS-Leak'ler.
Çalışmada tanımlanan tüm XS-Leak’ler.
Kaynak: XSinator

Daha sonra, her birinin ne kadar savunmasız olduğunu belirlemek için 34 XS Sızıntısını 56 tarayıcı ve işletim sistemi kombinasyonuna karşı test ettiler.

Daha sonra üç bileşenden oluşan XSinator adlı bir web uygulaması oluşturdular:

  1. Bilinen ve yeni X-Leak’leri uygulayan, saldırgan sayfası gibi davranan bir test sitesi
  2. Duruma bağımlı bir kaynağın davranışını simüle eden savunmasız bir web uygulaması.
  3. Önceki tüm test sonuçlarını içeren bir veritabanı.

Ziyaret edebilirsiniz. XSinator sayfası ve web tarayıcınızın ve işletim sisteminizin 34 X-Leaks’e karşı ne kadar iyi ücrete sahip olduğunu görmek için testi çalıştırın.

Google Chrome'un en son sürümüne karşı test etme
Google Chrome’un en son sürümüne karşı test etme
Kaynak: BleepingComputer

Çeşitli tarayıcıların savunmasız olduğu XS sızıntılarının tam listesini aşağıda bulabilirsiniz:

Ekibin değerlendirmesinden örnek sonuçlar
Ekibin değerlendirmesinden örnek sonuçlar
Kaynak: XSinator

X-Leaks’e karşı nasıl savunulur

Bu yan kanal saldırılarından kaynaklanan riskleri azaltmak veya ele almak tarayıcı geliştiricileri tarafından çözülmelidir.

Araştırmacılar, tüm olay işleyicisi iletilerini reddetmeyi, hata iletisi oluşumlarını en aza indirmeyi, genel sınır kısıtlamaları uygulamayı ve yeniden yönlendirme gerçekleştiğinde yeni bir geçmiş özelliği oluşturmayı önerir.

Diğer etkili azaltma yöntemleri, iframe öğelerinin HTML kaynaklarını yüklemesini önlemek için X-Frame Seçenekleri’ni kullanmak ve sayfaların bir kaynağı katıştırıp katıştıramayacağı denetlenmek için CORP üstbilgisini uygulamaktır.

“COIU, Birinci Taraf Yalıtımı (FPI) olarak da bilinir, kullanıcıların FF’nin uzman ayarlarında (yaklaşık:config) etkinleştirebilecekleri isteğe bağlı bir güvenlik özelliğidir ve başlangıçta Tor Browser’da kullanıma sunulmuştur.” – from kağıt.

Katılımcı araştırmacılardan Lukas Knittel, Bleeping Computer’a şunları söyledi:

“Web sitesine bağlı olarak, XS-Leaks kullanıcılar üzerinde ciddi bir etkiye sahip olabilir. Kullanıcılar, üçüncü taraf çerezleri devre dışı bırakmalarını sağlayan güncel bir tarayıcı kullanabilir. Bu, web sitesi COOP, CORP, SameSite Çerezleri gibi yeni azaltıcı etkenler uygulamasa bile çoğu XS Sızıntısına karşı koruma sağlar.” – Knittel.

Araştırmacı ayrıca, şu anda çeşitli sorunları çözen web tarayıcısı geliştirme ekiplerini bulguları hakkında bilgilendirdiklerini söyledi. Sorunlar, bazı durumlarda şu anda kullanılabilir sürümlerde zaten giderilmiştir.

Gelecekteki çalışmalara gelince, ekip yeni tarayıcı özelliklerinin sürekli olarak yeni potansiyel XS-Leak fırsatları eklediğine inanıyor, bu nedenle Bu sürekli ilgi alanıdır.

Ayrıca, Knittel bize bir web sitesi tarama aracının geliştirilmesini keşfedebileceklerini söyledi, ancak şimdilik bu kusurların gerçek dünyadaki web sitelerinde ne kadar yaygın olduğunu belirlemeye odaklanmak istiyorlar.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.