2 февраля 2004 г.
Компания Microsoft анонсировала "заплату", которая не позволит мошенникам незаметно перенаправлять пользователей на "фиктивные" вэб-ресурсы.
Новая "заплата" позволит устранить ошибки в Internet Explorer, связанные с неправильным отображением вэб-браузером адресов страниц.
Часто при работе с вэб-ресурсами, поддерживающими механизм авторизации, пароль и имя пользователя передаются серверу прямо в ссылке перед знаком "@". Например, при посещении станицы http://username:password@server/user.phtml сервер "прочтет" имя пользователя и пароль (username:password) и откроет на узле http://server/user.phtml его персональную страницу. Однако при отсутствии на сервере механизма авторизации данные, расположенные слева от @ просто игнорируются.
Этот изъян стали активно использовать мошенники, которые представляются пользователям, например, администратором вэб-сайта и просят пользователя обновить логин и пароль. Обманутый пользователь заходит по ссылке, в левой части которой видит якобы правильный адрес, на страницу злоумышленника, и оставляет на нем свои идентификационные данные.
Анонсированный патч запретит возможность вставки логина и пароля в ссылку √ обновленный IE в такой ситуации просто сообщит пользователю о синтаксической ошибке.
|