Pull to refresh

Link prefetching и безопасность

Reading time 2 min
Views 6.4K
Сегодня с удивлением обнаружил, что атаковать комп можно прямо сквозь страницу результатов поиска Google. Если на первой строчке оказался вредоносный сайт, ваш Firefox или Netscape с подачи Гугля вполне может предзагрузить его как страницу, на которую вы перейдете с очень большой вероятностью, и вот антивир уже бьет тревогу.


Оказывается, в Mozilla 1.2 (2003 год) введена такая фишка как link prefetching, и как минимум с 2005 года ее поддерживает Гугль. Теперь это часть стандарта HTML5.

Суть в том, что ресурсы, помеченные rel="prefetch", браузер должен автоматически предзагружать и кэшировать после окончания загрузки текущей страницы. Можно также отправить заголовок Link: <http://example.com>; rel=prefetch или сделать то же самое через meta-тег: <meta http-equiv="Link" content="&lt;http://example.com&gt;; rel=prefetch">


Из Google Web Search Features:

Results Prefetching

On some searches, Google automatically instructs your browser to start downloading the top search result before you click on it. If you click on top result, the destination page will load faster than before.

Google uses a special prefetching feature in Firefox and Mozilla web browsers to provide this functionality, so results prefetching is not available in Internet Explorer or other web browsers. You can disable prefetching in your web browser preferences, as described in the Mozilla Prefetching FAQ. In Firefox, you can disable prefetching by doing the following:
  1. Type "about:config" the address bar.
  2. Scroll down to the setting "network.prefetch-next" and set the value to "False".
With prefetching enabled, you may end up with cookies and web pages in your web browser's cache from web sites that you did not click on since prefetching happens automatically when you view Google search results pages. You can delete these files by clearing your browser's cache and cookies.

If you run a web server, you can find webmaster-specific information about this feature in our Webmaster FAQ.

Есть мнение (не проверенное), что подгружаемые страницы не опасны. Даже если это так, никто не гарантирует, что завтра не обнаружится дыра в этой системе, и ваши пароли не уплывут прямо со страницы поиска через хакнутый сайт, который вы никогда даже не видели. Надеюсь, кто-то из спецов отпишется в комментариях по этому поводу, а пока я отключил у себя в браузере предзагрузку, чего и вам желаю.

Отключение link prefetching:
  1. Введите в адресной строке about:config.
  2. Найдите настройку network.prefetch-next.
  3. Установите ей значение False.
В Netscape 9 опция по умолчанию отключена.

См. также:
UPD: Желающие проверить могут набрать в Гугле «безопасная проверка домена». Avast предупреждает о трояне HTML:IFrame-EJ [Trj].
Tags:
Hubs:
+12
Comments 35
Comments Comments 35

Articles