Lubie być anonimowy: Nowy atak typu CSRF wykorzystujący “Google Web History”

zdjęcie: kris247

Należę do osób, które lubią wyszukiwarkę Google. Uważam że jest to najlepsza wyszukiwarka, jednak zawsze jestem sceptyczny jeśli chodzi o funkcje “personalizowane”. Wole poruszać się anonimowo po stronach Googla, dlatego używam miedzy innymi FireFox Add-on Customize Google, który pozwala mi włączyć anonimowe ciasteczka (“Anonymize the Google cookie UID”).

Alexander Konovalenko pokazał dzisiaj na FD jeden z wielu przykładów dlaczego warto być anonimowym użytkownikiem. Chodzi o bardzo prosty ale efektywny atak typu CSRF, podobny do ataku typu XSS. Nie będe tłumaczył tutaj z języka angielskiego, żeby nie poddawać pokemonom i spamerom głupich pomysłów!

“Injecting spam into Google Web History via I’m Feeling Lucky queries” można przeczytać tu, tu albo tu.