С 2016-го года в Google Chrome и Mozilla Firefox существовала уязвимость, которая позволяла сайтам получать информацию о Facebook-профилях посетителей

Проблема просуществовала более года, ее исправили в обновлениях: Chrome 63 (вышел в прошлом году) и Firefox 60 (вышел две недели назад).

Причиной появления уязвимости стала новая функция, которая появилась в языке CSS в 2016 году. Она называется "mix-blend-mode" и вводит смешивание разных цветов. Она же позволяла сайтам получать информацию из Facebook.

Использовались iframe-элементы (так встраивают кнопки лайка или логина) и необычный способ обработки данных. Объектом "слива" были лишь пиксели – баг не позволял выгружать целые картинки или посты.

Сайты анализировали то, что "видели" на iframe-элементе, помещая сверху дополнительные слои-обработчики, поскольку получить доступ к его содержимому не могли.

Изъятые пиксели можно обработать при помощи системы оптического распознавания. Таким образом они узнавали имена пользователей или изображения их профилей.

Хотя со стороны процесс выглядит довольно сложно, на выполнение всех операций компьютер мог потратить не более 20 секунд, отмечает издание Slashgear.

При этом, обычно в браузерах действует политика безопасности, что не позволяет доменам обмениваться информацией, которую они хостят – однако в данном случае правила были нарушены.

Браузер Safari не подвергался уязвимости, а в Internet Explorer и Edge просто не было поддержки mix-blend-mode.

Однако, как опасаются исследователи, которые обнаружили проблему, с осложнением веб-технологий и увеличением возможностей HTML и CSS появится все больше способов получать доступ к чужим данным.

Источник: depo.ua