Yahoo! отказалась исправлять эксплуатируемую фишерами уязвимость в механизме переадресации пользователей

Как следует из сообщения в рассылке Full Disclosure, независимый исследователь безопасности Роберт Куглер (Robert Kugler) обнаружил уязвимость на портале yahoo.com и отправил соответствующее уведомление администрации ресурса.
Речь идет о распространенной бреши в механизме переадресации, позволяющей злоумышленникам перенаправлять пользователей на произвольный веб-сайт, сохраняя при этом префикс yahoo.com в URL-адресе. Таким образом потенциальная жертва может открыть в браузере любой необходимый злоумышленнику портал, однако ведущая на него ссылка будет выглядеть как один из доменов интернет-компании. Данная уловка, как правило, используется мошенниками для того, чтобы усыпить бдительность своих жертв.В предоставленном Куглером примере ссылка с префиксом us.ard.yahoo.com ведет на google.com. При этом слишком очевидный конец URL-адреса, из которого можно догадаться, что ссылка ведет на http://www.google.com/, также можно замаскировать.Уведомление Куглера было рассмотрено разработчиками Yahoo!, однако никаких действий по устранению бреши предпринято не было. По заверениям компании, «все работает как должно», поскольку данная особенность функционирования веб-сайта была намеренно добавлена с самого начала.

Статьи по теме:

В Яндекс.Браузере появился каталог расширений и функция блокировки сайтов, занимающихся SMS-мошенничеством Вредоносное программное обеспечение атакует пользователей iPhone Coca-Cola добавила эмоций в URL Автором Всемирной паутины стал британский ученый Бернерс-Ли Тим Google выпустил антивирус для компьютеров Apple Цифра дня: Сколько ссылок удалил Google по запросам европейцев о "праве на забвение"? Интернет вырос на треть за минувший год «Доктор Веб» запрещает пользователям ходить на «пиратские» сайты Суды может накрыть волна исков от жертв "блокировки за компанию" Пароли от 7000 FTP-серверов продаются на форуме