Listing katalogów przez przeglądarki - pytanie, może głupie
#1
Cześć,

mam nadzieję, że nie zbiorę gromów za tak być może laickie dla większości z Was pytanie, ale cóż, laik nie wiedzący w końcu musi gdzieś zapytać... Rozchodzi się o następującą kwestię:

Przeglądarki mają możliwość wyświetlenia listy plików na dysku, ot chociażby gdy wpisze się "c:" w pasku adresu. Mają także możliwość uploadu całych plików gdzieś-tam.

W związku z tym, czy jeżeli wchodzę na jakąś stronę internetową, to czy może ona (tudzież serwer, na którym ona leży), za pośrednictwem przeglądarki:
- przejrzeć listę plików, które mam na dysku albo
- nawet "zassać" stamtąd jakiś?

Oczywiście przy założeniu, że nie przeglądam stron w jakiejś wirtualnej maszynie itd.

W CIS v.6 jest ww. alert "direct disc access" (pojawiający się dla prawie każdego programu, o wiele częściej niż w v. 5.12), którego to bezpośredniego dostępu zablokowanie sprawia, że nie da się zrobić listingu c:, w Online Armorze w trybie zaawansowanym po "niezaufaniu" przeglądarce pojawiają się alerty dot. prób listingu poszczególnych katalogów (np. Media Playera, Silverlighta i czegoś jeszcze)...

Pozdrawiam
Paweł
Odpowiedz
#2
Takie coś (albo raczej w tym guście) miało miejsce, atak był przeprowadzony min. na IE7, wszystko rozbija się o użycie javascript

[Aby zobaczyć linki, zarejestruj się tutaj]


Niemniej, podatność na to została już dosyć dawno załatana na wszystkich popularnych przeglądarkach.

To jest jednak jeden z dowodów na to, że javascript może być niebezpieczny.
Warto korzystać z dodatków takich jak NoScript.
Odpowiedz
#3
Dzięki za odpowiedź. Jak rozumiem, tak samo jest z przesyłaniem samej listy nazw plików z katalogu?

Noscripta używam Smile
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości