Nedávno jsme si povídali o údajné bezpečnostní díře, která je považována spíše za vlastnost (minimálně ze strany Microsoftu). Dovoluje kdesi otevřeným oknem před nějakou stránkou zobrazit dialogové javascriptové okno s libovolnou výzvou (nevědomý uživatel tak na sebe může leccos prozradit). Firma Microsoft se zmínila, že tuto situaci nepovažuje za bezpečnostní díru, ale vlastnost, a chybu opravit nehodlá. Otázka je, zda nyní změní názor.

Objevilo se totiž využití díry s velmi podobným principem. Opět se někde otevře nějaké okénko navíc, které se zpožděním provede určitou akci. Touto akcí je nyní změna původní zobrazované stránky na jinou, kterou může útočník vyvést ve stejném vzhledu a uživatel tak nemusí zaregistrovat, že je někde úplně jinde. Vyzrazení nějakých informací je tak dána výrazně větší šance (přeci jen, zobrazované javascriptové dialogy jsou o něco více podezřelé). Můžete si to sami vyzkoušet, po kliknutí na první odkaz na uvedené stránce, se otevře adresa začínající na „login.passport.net“, ta se však po chvilce změní na „www.markvanberkel.com/...“.