Комментарии участников:
I've tried the hack on IE7, Opera, and Firefox; it appears to be working on all three.
Проверил свой IE6 в соответствии с этой рекомендацией. Но либо лавочку прикрыли, либо я что-то не так сделал, либо ИЕ6 выстоял (что сомнительно).
О! Слушай, кинь плиз ссылку, где именно ты проверялся. Т.е. куда надо зайти с открытым Гмылом, чтобы увидеть контакт. Просто у меня есть подозрения, что вот это не работает попросту.
хммм, я похоже тормоз — не туда клацал :)
Ну да, есть там мои контакты. Это, видимо, не беда браузеров. Если сервак Гугли отдает этот файл (да еще кому ни поподя), то в любом браузере его можно будет из JS'а получить и использовать. Или я опять чего-то не понял?
Ну да, есть там мои контакты. Это, видимо, не беда браузеров. Если сервак Гугли отдает этот файл (да еще кому ни поподя), то в любом браузере его можно будет из JS'а получить и использовать. Или я опять чего-то не понял?
а может быть, тут дело как в случае с картинкой, показывающей ip и систему?) где доказательства, что эту инфу вижу не только я?
Я не знаю, что там была за история с картинкой (хотя догадываюсь). Но тут имхо все выглядит так:
я, вот здесь на сайте, клацаю на ссылочку (которую ты поместил) и получаю свои контакты ввиде файла. По идее, никто не мешает здесь на сайте (или на любом другом) сделать ДжаваСкриптик, который клацнет вместо меня (как в AJAX это делается). В итоге скриптик получит этот самый файл вместо меня. Дальше есть варианты…
я, вот здесь на сайте, клацаю на ссылочку (которую ты поместил) и получаю свои контакты ввиде файла. По идее, никто не мешает здесь на сайте (или на любом другом) сделать ДжаваСкриптик, который клацнет вместо меня (как в AJAX это делается). В итоге скриптик получит этот самый файл вместо меня. Дальше есть варианты…
Насколько я понимаю (пока что), для хащиты необходимо "Выходить" из Гмыла по завершению работы. Т.е. не просто закрывать окно, а нажимать соответствующую кнопочку.
Сейчас я всю эту идею проверю, скриптик наваяю…
Сейчас я всю эту идею проверю, скриптик наваяю…
Ха, 
вот эта ссылка перестала выдавать контакты :( Хотя Гмыло у меня открыто, все как раньше.
Выдается сообщение с ошибкой.
Выводы:
1. Гугль быстро ожеребился и что-то там прикрыл? Реферер, чтоли, проверяют… Хотя врядли, это глупо.
2. Мне теперь не на чем тестировать свой скрипт :)
вот эта ссылка перестала выдавать контакты :( Хотя Гмыло у меня открыто, все как раньше.Выдается сообщение с ошибкой.
Выводы:
1. Гугль быстро ожеребился и что-то там прикрыл? Реферер, чтоли, проверяют… Хотя врядли, это глупо.
2. Мне теперь не на чем тестировать свой скрипт :)
да уж, шустрые гады… только я наваял злой скрипт, который в фоне выдирает из юзерского Гмыла контакты…
"Causing too much trouble already… I am sorry if it causes any inconvenience to you, or make you feeling the insecure of Google." :D
Google устранил уязвимость в GmailОбнаруженная несколько дней назад уязвимость позволяла украсть контакт лист целевого пользователя, посетившего специально сформированную Web страницу.
Уязвимость связанна с тем, что список контактов хранился в javascript коде, который мог быть вызван произвольным сайтом. GMail не проверял, какой сайт вызывал уязвимую функцию, в результате произвольный Web сайт мог прочитать список контактов целевого пользователя. Единственное условие для эксплуатации уязвимости заключалось в том, что пользователь должен в момент эксплуатации иметь активную сессию в Gmail.
PoC код был опубликован 1-го января и Google потребовалось более 30 часов для устранения обнаруженной уязвимости.