daniilshat 23 янв в 07:57

В Cloudflare нашли уязвимость, с помощью которой можно отслеживать местоположение пользователей Signal, Discord и X

2 мин

3.6K

Информационная безопасность * Мессенджеры *

Комментарии 11

TastaBlud 23 янв в 08:41

Извините, но

Более подробные данные таким способом получить нельзя.

это уровень GeoIp, а не как можно подумать из текста и тем более скриншотов, что прямо как в якартах отслеживать местоположение с точностью до метров в реальном времени.

А главное, CloudFlare пользуются очень многие, но в заголовке нарочно указаны "самые безопасные" инструменты, чтобы вызвать панику у параноиков. А можно было написать, что уязвимо почти всё (что за CloudFlare), аж недоработка.

TastaBlud 23 янв в 08:46

P.S. вспоминается похожая уязвимость by design с посещёнными ссылками: в самой спецификации было прописано свойство css :visited которую спустя 10 лет догадались использовать для определения сайтов куда не анонимно гуляет пользователь. В интернете навели истерии, но потом поутихло и ничего в спеке не стали менять, просто посоветовали пользоваться анонимным режимом и чистить историю, либо пользоваться разными браузерами/профилями для ~~закладок~~ бизнеса и для ~~порно~~ развлечений.

orekh 23 янв в 09:23

Насколько помню спеку, из js в браузере не удастся получить инфу о том, что ссылка visited - методы врут о её состоянии; и этот псевдокласс ограничен перекрашиванием ссылки, чтобы не получилось по косвенным признакам вроде сдвига разметки определить срабатывание селектора.

alexalexes 23 янв в 12:14

А если подгружать фон для a[href=""]:visited из своего сервера? Определяя через CSS, что этот ресурс посещен?

orekh 24 янв в 16:56

Ты можешь поменять только цвет.

dartraiden 23 янв в 13:05

Да, с одной стороны это старый-добрый деанон "засылаем жертве ссылку на подконтрольный нам сервис, потом в логах сервера смотрим, кто и откуда перешёл по ссылке". За исключением того, что тут сервер нам не совсем подконтролен и мы не можем узнать точный адрес пользователя, а можем лишь узнать ближайший дата-центр.

С другой стороны, тут, во-первых, ссылка выглядит безопасно (она же размещена на домене мессенджера), во-вторых, пользователю даже не нужно нажимать на неё - его клиент автоматически подкачает картинку.

VadimProfii 23 янв в 09:14

Джентльмены, а что, Клаудфар уже разблокировали в РФ? Просто посмотрел сегодня тест Оони по ртк....

Acidter 23 янв в 12:35

Чтобы быть разблокированным, нужно сначала быть заблокированным.

VadimProfii 23 янв в 15:17

Хорошо. Как понимать это- https://drive.google.com/file/d/1NWcXDC_PYEUGIzrwSXPC5uWUfmrCTUAf/view?usp=sharing

Acidter 24 янв в 13:38

Понятия не имею что это за скриншот, но если это список недоступных доменов, то вижу здесь недоступным только домен шлюза ipfs. Но это не говорит о блокировке cloudflare, это всего лишь одно из множества услуг которые они предоставляют.

KirOFF_YT 23 янв в 20:21

я так себе девушку хотел найти

Зарегистрируйтесь на Хабре, чтобы оставить комментарий