Mir ist heute ein ganz interessantes Problem im Zusammenhang mit Safari's Private Browsing Mode bzw. der "Reset Safari" Funktion und HTTP Auth.
1.) das Private Browsing Problem:
Wird eine Website bei aktiviertem Private Browsing Mode aufgerufen und danach dieser deaktiviert, sind die Zugangsdaten immer noch gecached.
2.) der Reset Safari Problem:
Hier tritt das selbe Problem auf. Meldet man sich bei einer Webseite mit HTTP Auth an und setzt danach Safari mittels des Menüpunktes zurück bleiben die Zugangsdaten gecached.
Fazit:
Es handel sich hier meiner Meinung nicht um ein wirkliche Problem. Um diesen Fehler ausnützen zu können muss der Angreifer wissen, das eine bestimmte Webseite mit HTTP Auth besucht wurde und Safari darf noch nicht geschlossen worden sein, da hier sehrwohl der Auth Cache geleert wird.
Video:
hier
PS:
Getestet unter Mac OS X 10.6.4 (Build 10F569) und Safari 5.0.1 (Build 6533.17.8)
PPS:
Bugreport wurde bereits bei Apple angelegt.
Dienstag, 10. August 2010
Abonnieren
Kommentare zum Post (Atom)
0 Kommentare:
Kommentar veröffentlichen