Nowa przeglądarka internetowa od Yahoo! I od razu wpadka.

Moda na coraz to nowe przeglądarki internetowe nadal trwa. Yahoo! zaprezentowało dziś swoją mobilną przeglądarkę – Axis. Na chwilę obecną można ją pobrać na iPhone-a i iPad-a. Niestety trochę nie wyszło i pojawiła się dość poważna luka w jednym z dodatków.

Axis

Axis choć występuje tylko w wersji na urządzenia mobilne (co więcej tylko na te z logo nadgryzionego jabłka) ma dość ciekawą funkcjonalność – pozwala na synchronizację z desktopową przeglądarką za pomocą doinstalowywanego pluginu (np. synchronizacja przeglądanych stron jest banalnie prosta i od razu dostępną mamy możliwość dalszego przegladania strony na innym urządzeniu). Plugin został udostępniony w wersji dla Chrome, Firefox, Internet Explorer i Safari. Z racji tego, że nie posiadam żadnego iUrządzenia, nie pokażę jak to w praktyce działa, chcę zwrócić uwagę na coś innego. :)

I jeszcze prezentacja Axis:

 

Wpadka

Zaraz po udostępnieniu okazało się, że plugin do Chrome ma dość poważną… hmmm, jak by to nazwać… może – lukę w zabezpieczeniach :) Nik Cubrilovic na swoim blogu opisał szczegóły problemu.

Problem w tym, ze Yahoo! dołączyło do rozszerzenia certyfikat prywatny, służący do jego podpisywania (tak, aby Chrome i Chrome Web Store mogły zweryfikować, że rozszerzenie jest autentyczne). Oznacza to, że każdy za pomocą tego certyfikatu jest w stanie podpisać rozszerzenie do Chrome, które będzie wyglądało jak oryginalne od Yahoo!.

Każdy z Was (jeśli ma ochotę i wie co robi), może to sprawdzić samodzielnie. Nik umieścił na GitHubie oryginalne rozszerzenie i zmodyfikowane, przy czym modyfikacja polega jedynie na dodaniu wyświetlenia altertu w Javascript. Oczywiście zmodyfikowane rozszerzenie zostało podpisane tym samym certyfikatem i Chrome identyfikuje autora jako Yahoo!.

Obecnie w Chrome Web Store znajduje się już poprawione rozszerzenie.

Podsumowanie

Wpadki zdarzają się każdemu. Nie raz widzieliśmy przecież, jak deweloperzy o czymś zapominali. Ot błąd ludzki. Ten błąd jest o tyle poważny, że zmodyfikowane rozszerzenie, jeśli zostanie zainstalowane na komputerze ofiary, może spowodować wyciek ważnych danych, np. haseł, czy sesji.

 

Źródła: Nik Cubrilovic, Yahoo! Axis

Ten wpis został opublikowany w kategorii Internet, Oprogramowanie, WWW i oznaczony tagami , , , , . Dodaj zakładkę do bezpośredniego odnośnika.

Dodaj komentarz

Musisz się zalogować (także Facebook, Google+, Twitter), aby móc dodać komentarz.