Брытанскі даследнік Майк Кардуэлл паведаміў аб выяўленні простага спосабу паведамлення карыстачам аб тым, ці ўвайшлі яны ў Gmail, Facebook,Twitter, Digg і тысячы іншых сайтаў.

Новы метад дазваляе іншым сайтам, якія да вышэйпаказаных праектаў не маюць адносіны, інфармаваць карыстачоў аб іх сеансах у сацыяльных сетках, паштовых сістэмах і проч.

Створаны метад грунтуецца на выкарыстанні статутных кодаў, якія вяртаюцца шматлікімі сайтамі. Гэтыя коды адрозніваюцца ў залежнасці ад таго, ці ўваходзіў чалавек на сайт або няма. Убудаваўшы ў вэб-старонку невялікі фрагмент кода JavaScript, утрымоўвальнага спасылку на адзін з шуканых сайтаў, можна адразу жа сказаць, ці ўваходзіў карыстач на гэты сайт.

Праўда, вэб-распрацоўнік папярэджвае, што дадзены метад не працуе ў выпадку з браузерамиOpera і Internet Explorer.

Паведамляецца, што эксплоит працуе за рахунак ідэнтыфікацыі HTTP-статуту, які вяртаецца, калі наведвальнік адпрацоўвае скрыпт. Калі падчас апрацоўкі сайт, якому даецца запыт, да прыкладу Facebook, дае кодавы адказ A200, то гэта кажа аб аб паспяховым запыце на аўтэнтыфікацыю, і адпаведна, што карыстач перш не ўваходзіў на сайт. Калі жа код атрымліваецца А404, 500 або іншы, то гэта значыць, што карыстач раней тут ужо быў.

"Выключыць магчымасць дадзенага эксплоита вельмі цяжка, толькі нешматлікія сайты могуць адключыць праверку адноснасці",- піша Кардуэлл у сваім блогу.

рэкамендуем прачытаць таксама

• YouTube перастане працаваць з Internet Explorer 6
• Facebook і Twitter заблакавалі ўліковыя запісы хактивистов
• Twitter пахіснуўся пад нападам, Facebook выстаяў
• Facebook адмаўляецца ад падтрымкі Internet Explorer 6
• YouTube спыняе падтрымку IE6

Каментаванне не дазволенае.