Link prefetching и безопасность

    Сегодня с удивлением обнаружил, что атаковать комп можно прямо сквозь страницу результатов поиска Google. Если на первой строчке оказался вредоносный сайт, ваш Firefox или Netscape с подачи Гугля вполне может предзагрузить его как страницу, на которую вы перейдете с очень большой вероятностью, и вот антивир уже бьет тревогу.


    Оказывается, в Mozilla 1.2 (2003 год) введена такая фишка как link prefetching, и как минимум с 2005 года ее поддерживает Гугль. Теперь это часть стандарта HTML5.

    Суть в том, что ресурсы, помеченные rel="prefetch", браузер должен автоматически предзагружать и кэшировать после окончания загрузки текущей страницы. Можно также отправить заголовок Link: <http://example.com>; rel=prefetch или сделать то же самое через meta-тег: <meta http-equiv="Link" content="&lt;http://example.com&gt;; rel=prefetch">


    Из Google Web Search Features:

    Results Prefetching

    On some searches, Google automatically instructs your browser to start downloading the top search result before you click on it. If you click on top result, the destination page will load faster than before.

    Google uses a special prefetching feature in Firefox and Mozilla web browsers to provide this functionality, so results prefetching is not available in Internet Explorer or other web browsers. You can disable prefetching in your web browser preferences, as described in the Mozilla Prefetching FAQ. In Firefox, you can disable prefetching by doing the following:
    1. Type "about:config" the address bar.
    2. Scroll down to the setting "network.prefetch-next" and set the value to "False".
    With prefetching enabled, you may end up with cookies and web pages in your web browser's cache from web sites that you did not click on since prefetching happens automatically when you view Google search results pages. You can delete these files by clearing your browser's cache and cookies.

    If you run a web server, you can find webmaster-specific information about this feature in our Webmaster FAQ.

    Есть мнение (не проверенное), что подгружаемые страницы не опасны. Даже если это так, никто не гарантирует, что завтра не обнаружится дыра в этой системе, и ваши пароли не уплывут прямо со страницы поиска через хакнутый сайт, который вы никогда даже не видели. Надеюсь, кто-то из спецов отпишется в комментариях по этому поводу, а пока я отключил у себя в браузере предзагрузку, чего и вам желаю.

    Отключение link prefetching:
    1. Введите в адресной строке about:config.
    2. Найдите настройку network.prefetch-next.
    3. Установите ей значение False.
    В Netscape 9 опция по умолчанию отключена.

    См. также:
    UPD: Желающие проверить могут набрать в Гугле «безопасная проверка домена». Avast предупреждает о трояне HTML:IFrame-EJ [Trj].
    Поделиться публикацией
    Ой, у вас баннер убежал!

    Ну. И что?
    Реклама
    Комментарии 35
      +10
      Волков бояться — в лес не ходить
        +1
        троянов бояться — не гуглить
          –2
          Волков бояться — в лесу не ипаться
            0
            Двустопному амфибрахию лучше соответствует двустишие «Медведей бояться — в лесу не ебаться».

            По странному совпадению, оно также лучше соответствует популярному мему «Превед!».
          –12
          Похоже на ляп Mozilla…
            +1
            Тут же прибежали фанаты Mozilla и заминусовами меня ^_^
            Надо было лучше сказать «ляп гугла» = )

            Ладно, проехали… Мне вот интересно, а они думают о том, что эта фоновая подгрузка страниц не всем в радость? Что не у всех на планете безлимит :)

            В Netscape 9 опция по умолчанию отключена.
            Это радует. Жаль что в Fx активна :( А я про неё узнаю только сегодня
          • НЛО прилетело и опубликовало эту надпись здесь
              +2
              странно, касперский молчит
                0
                У меня нод тоже ничего не сказал, странно…
                  0
                  У меня нод ответил уже после того как я закрыл страницу О_О
                  P.S. Сейчас просматриваю дизассемблированный код этого вируса.
                    0
                    Сейчас просматриваю дизассемблированный код этого вируса

                    o_0 так он еще и в виде бинарника!? LOL
                +8
                Три раза пытался закрыть окошко антивируса на вашем скриншоте. :) Вот она сила привычки и усталости ближе к ночи…
                • НЛО прилетело и опубликовало эту надпись здесь
                  +2
                  а он выполнит все скрипты на предзагруженной странице до ее запроса юзером? Если нет, то о чем волноваться
                    +7
                    Нет, конечно, не выполнит. Для браузера это просто текст, так что altspamовская блогозапись выглядит примерно такой же одичалой перестраховкою, как если бы кто-нибудь написал: «Есть мнение (не проверенное), что EICARовская тестовая строка X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* не опасна. Даже если это так, никто не гарантирует, что завтра не обнаружится дыра в этой системе, и ваши пароли не уплывут прямо со страницы поиска, на которой эта строка нашлась на хакнутом сайте, который вы никогда даже не видели».
                      –1
                      Вы правы ) Разница только в том, что тестовой строкою вряд ли пользуются по миллиарду раз в день неподготовленные люди.
                    0
                    Безотносительно возможности заражения меня ни фига не радует что браузер начинает что-то там кешировать без моего ведома. Если такая опция есть — ставьте ее по дефолту отключенной. Продвинутые юзеры включат сами, а обычным людям и не нужна она: вы же понимаете что это ВАМ придется объяснять знакомым что это не на сайте гугла вирусы, а в поиске что-то нашлось нехорошее.

                    Гм, учитывая что я сам только их этого топика узнал о такой функции, думаю у довольно многих продвинутых юзеров будут проблемы с пониманием такого поведения браузера, что тоже ничего хорошего не значит )
                      +1
                      > Безотносительно возможности заражения меня ни фига не радует что браузер начинает что-то там кешировать без моего ведома

                      Ваш браузер (в отличие от моего :) ) загружает со страницы кучу ресурсов, типа всяких баннеров и счетчиков, флешей, которые куда как опаснее, чем несчастный кусок HTML-кода, который подгружается, но не парсится.
                      0
                      гугл результаты проверяет на вирусы несколько раз в неделю, в топ вирусный сайт он не выпустит.
                      Но все равно, очень интересную вещь вы мне сообщили.
                        0
                        Т.е. гугл ВСЕ сайты проверяет?? Я могу набрать запрос, при котором сайт окажется на первом месте в выдаче.

                        Или я вас не понял?
                        0
                        Link prefetching для меня такая же сомнительная фича как предпросмотр скриншотов страниц при наведении мышки на ссылку. Кому надо — те сами включат, действительно.

                        Касаемо же подобного способа заражения — ждем подделок под custom search и хитрое вредоносное ПО, перехватывающее обращения к гуглу и вклинивающее в топ опасные ссылки.
                          0
                          перехватывающее обращения к гуглу и вклинивающее в топ опасные ссылки.

                          так вробе было уже нечто подобное? вроде с letitbit как-то связано… подробностей не вспомню, надо гуглить по хабру, туту была заметка об этом.
                          +4
                          ресурсы, помеченные rel=«prefetch», браузер должен автоматически предзагружать
                          Не должен. А может, в зависимости от настроек. От этой фичи всего три «опасности»:
                          1) потенциальное срабатывание тревоги антивируса раньше времени,
                          2) небольшой перерасход трафика пользователя, если он всё же не перешел по ссылке,
                          3) целевой сайт получит лишний переход в своих счетчиках.
                          • НЛО прилетело и опубликовало эту надпись здесь
                              0
                              поиском вообще надо пользоваться с оторожностью. я вот искал «военно-морской музей санкт-петербург», и был очень удивлён тем, куда ведёт первый результат поиска (особенно в IE — догодаться невозможно). Может кто из экспертов объяснит, каким образом это сделано?
                                0
                                там подгружается это:

                                <script language="javascript">
                                r=""+Math.random()+"&ref="+escape(document.referrer)+"&pg="+
                                escape(window.location.href);
                                document.write("<img src='http://allstarclick.com/stat/counter.php?id="+
                                r+"' border=0 width=1 height=1 alt=SpeSta>")
                                </script>
                                
                                  0
                                  при запросе файла stmenu.js меня перекидывает на ту страницу, о которой идет речь. а он как раз загружается при обращении на www.museum.navy.ru
                                  а вот уже после редиректа подгружается код, который я написал чуть выше.
                                    0
                                    спасибо, теперь понятно- на запрос stmenu.js приходит редирект на Location 1502998896/~bitrid/
                                      0
                                      именно.
                                      а вот запись вида 1502998896/ для меня, честно говоря, немного нова )
                                      надо будет посмотреть в rfc, что это вообще такое…
                                        0
                                        Это, натурально, IP-адрес. Просто он записан не группою из четырёх байтов, а одним многоразрядным числом.
                                          0
                                          у меня были подобные предположения, но я решил их не высказывать а сперва проверить в rfc. теперь это подтвердилось. спасибо )
                                  0
                                  напишите в гугл и производителям браузеров
                                  0
                                  И вот убедите меня теперь, что Noscript не полезен!

                                  notrojan.png - Picamatic - upload your images
                                    0
                                    Даже если это так, никто не гарантирует, что завтра не обнаружится дыра в этой системе, и ваши пароли не уплывут прямо со страницы поиска через хакнутый сайт, который вы никогда даже не видели.

                                    Если есть дыра, и сайт хакнули, то пароли и без этой фичи уведут

                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                    Самое читаемое