2016 року в Google Chrome і Mozilla Firefox працювала вразливість, що дозволяє сайтам отримувати інформацію про Facebook-профілі відвідувачів.

Про це повідомляє ain.ua з посиланням на ArsTechnica.

Проблема проіснувала більше року, її виправили в оновленнях: Chrome 63 (вийшов минулого року) і Firefox 60 (вийшов два тижні тому).

Причиною появи уразливості стала нова функція, що з'явилася в мові CSS в 2016 році. Вона називається "mix-blend-mode" та вводить змішування різних кольорів. Вона ж дозволяла сайтам отримувати інформацію з Facebook.

Використовувалися iframe-елементи (так вбудовують кнопки лайка або логіна) та незвичайний спосіб обробки даних. Об'єктом "зливу" були просто пікселі - баг не дозволяв вивантажувати цілі картинки або пости.

 

 

Сайти аналізували те, що "бачили" на iframe-елементі, поміщаючи зверху додаткові шари-обробники, оскільки отримати доступ до його вмісту не могли.

Витягнуті пікселі можна обробити за допомогою системи оптичного розпізнавання. Так вони дізнавалися імена користувачів або їх зображення профілів.

Хоча з боку процес виглядає досить складно, на виконання всіх операцій комп'ютер міг витратити не більше 20 секунд, відзначає видання Slashgear.

При цьому, зазвичай в браузерах діє політика безпеки, що не дозволяє доменам обмінюватися інформацією, яку вони хостять - але в цьому випадку правила були порушені.

Браузер Safari не піддавався уразливості, а у Internet Explorer і Edge просто не було підтримки mix-blend-mode.

Проте, як побоюються дослідники, які виявили проблему, з ускладненням веб-технологій і збільшенням можливостей HTML і CSS з'явиться все більше способів отримувати доступ до чужих даних.