まず、このチェックの履歴について簡単に説明します。 この脆弱性の存在の開示後まもなく、私たちのサーバーの1つで発見され、hormold habrayuzerはそれを発見し(後で判明したように)、それに対する特別な感謝を私たちに知らせました。 状況を明確にし、穴をなくすプロセスで、その時点で説明された方法は非常に複雑であり、最も重要なことには、共有ホスティングの幸せな所有者が通常持っていない多くの権利を必要としたため、脆弱性をチェックするための最も簡単なサービスを作成するというアイデアが浮上しました。 結果として判明したことはシンプルで便利でしたが、Habrの住民を含め、機会を拡大したいといういくつかの希望を受け取りました。 実際に、それらは以下に実装され表示されます。
新機能
アルゴリズムは非常に単純で、 ここで詳細に説明しますが 、Cookieだけでなく、リファラー、ユーザーエージェント、その他の選択したフィールドもチェックできるようになりました。 これにより、この関数を使用する可能性が多少広がります。 また、すべてのチェックを順番に実行することで結合するというアイデアもありましたが、結果として、実験サーバーに送信する必要のある多数のリクエストのために、それを放棄しなければなりませんでした。 「複合」監査のリードタイムも大幅に増加します。