Итак, в статье «UPD Уязвим...»(ознакомится можно ТУТ) описана проблема безопасности с window.opener, но основная проблема заключается не в window.opener, а в протоколе file://. Разные браузеры имеют разные политики безопасности относительно работы этого протокола, например Google Chrome, блокирует все привилегии даже если файл запущен с вашей локальной машины, а например Safari и Opera готовы выложить всю подноготную. С Mozilla Firefox дела обстоят немного иначе. Их политика безопасности предоставляет полные привилегии в случае, если файл, предположительно HTML, находится в одной директории с запрашиваемыми файлами через протокол file://. Это мне объяснил Борис Збарский (если кто не знает, это один из инженеров в компании Mozilla) в комментариях к баг репорту, который я оформил 2012-10-18 09:02 Ознакомится можно ТУТ.
Суть проблемы, которую я описывал, заключалась в том, что можно выстроить XMLHttpRequest зарос и получить данные («чистые») из директории, где лежат наши HTML и атакуемый файл. После обсуждения проблемы мне объяснили, что дело тут не в XHR. То есть можно делать всё, что угодно, например вывести нужный нам файл в iframe и потом с лёгкостью его распарсить, замечу, что данная манипуляция работает при выполнении вышеупомянутых условий.
ПРИМЕР:
<iframe src="passwords.txt" id="11" ></iframe>
<input type="button" onclick="dd()" value="xXx">
<script>
function dd(){
alert(document.getElementById('11').contentWindow.document.body.outerHTML)
}
</script>
При вопросе, почему в браузере сохраняется данная уязвимость и почему такие политики безопасности, которые создают потенциальную угрозу, был получен ответ, что якобы такое поведение браузера, при работе с протоколом file:// очень нужно разработчикам и веб проектам. Вот только кому, каким разработчикам и в каких проектах это используется, я так и не понял.
Уязвимость подавалась мной как уязвимость безопасности. Открытие в общий доступ было обоснованно тем, что данный вид атак описан в некоторых книгах. Как я понял Mozilla Firefox не придала должного внимания уязвимости, наверное ждёт массовых волнений. Ждём исправлений в новых версиях.
Автор: skyskif
