მოგესალმებით ძვირფასო მკითხველებო ამ სტატიის თემა იქნება ბაგი ბრაუზერში Safari. კომპანია MajorSecurity გამოაქვეყნა Safari Mobile-ში iOS 5.1 ბაგის აღწერილობა, რომლის საშუალებით შესაძლებელია ბრაუზერში საიტის მისამართის გაყალბება.
პრობლემა დაკავშირებულია არაკორექტული javascript’s window.open() კოდის გადამუშავებასთან JavaScript-ში. ბაგის საშვალებით შესაძლებელია URL-ში სხვა საიტის მისამართის გამოჩენა, რითაც შესაძლებელია მსხვერპლის შეცდომაში შეყვანა.
ბაგის დემოსტრაციისათვის პრაქტიკაში, სპეციალისტებმა შექმნეს სპეციალური სატესტო საიტი. თქვენ შეგიძლიათ ამ მისამართზე შეხვიდეთ ბრაუზერით Safari iOS 5.1 და დააჭირეთ ღილაკს DEMO.
რის შემდეგაც რაც თქვენ დააჭერთ ღილაკს Demo ბრაუზერი Safari გახსნის ახალ ფანჯარას სადაც URL-ში მითითებულია www.apple.com, მაგრამ ბრაუზერი გახსნის საიტს majorsecurity.net, როგორც ვხვდებით მომხმარებელს majorsecurity.net საიტი არ დაუტოვებია.
ბოროტმოქმედები ამ კვალს შლიან, როგორც მიხვდით ეს ბაგი შესაძლებელია გამოყენებულ იქნას ფიშინგ საიტებისთვის, რაც ძალიან არასასურველია, ცოტაოდენი ტვინის დაძაბვის და ინტერნეტში ძებნის შედეგად გთავაზობთ ამ ბაგის კოდს.
iPhone-ზე ამის შემჩნევა ძალიან ძლენია, iPad უფრო შესაძლებელია თუ ყურედღებით იქნებით – ახალი ფანჯარის გახსნის შემდეგ საეჭვოდ იწყებს საიტის განახლებას, რომელზეც შენ უკვე გადასული ხარ.
ჩემი რჩევა იქნება თქვენთვის ნაკლებად ცნობილი საიტებიდან ნუ გადახვალთ ისეთ რესურსზე რომელიც ითხოვს აუტენტიფიკაციას, ან რაიმე სახის იდენტიფიკაციას.