Витік інформації через реферер в IE
22:37 16.10.2007Як повідовив RSnake в своєму записі IE Sends Local Addresses in Referer Header, існує можливість дізнатися важливу інформацію через реферер. В Internet Explorer 7 (в якому він тестував) при відкритті сторінки (зі спеціальним кодом) передається реферер.
<xml id="xml" src="http://site.com"><xml>
В даному випадку, якщо ця сторінка була збережена на локальний диск і відкрита локально, то на віддалений сервер передасться реферер локальної папки. Що буде витоком інформації, зокрема імені диску та локального шляху, а також (в більшості випадків) імені користувача - його логіна в системі. Раніше для цього потрібно було використовувати JavaScript або інші активні елементи, а тепер реферер можна отримати за допомогою цього простого методу.
Даний метод працює в Internet Explorer і не працює в Mozilla та Firefox. Окрім IE 7, як я перевірив, в IE 6 він також працює.