WYCIWYG

What You Cache Is What You Get ( WYCIWYG) to schemat Uniform Resource Identifier (URI) często wyświetlany w pasku adresu przeglądarek internetowych opartych na Gecko , takich jak Mozilla Firefox, jako wyciwyg:// , gdy przeglądarka internetowa pobiera informacje z pamięci podręcznej . WYCIWYG to gra związana z akronimem WYSIWYG (What You See Is What You Get).

Stosowanie

Mozilla Firefox implementuje zarejestrowany, ściśle wewnętrzny schemat URI wyciwyg w celu sortowania i późniejszego odwoływania się do stron przechowywanych lokalnie w pamięci podręcznej, które zostały wygenerowane lub zmodyfikowane przez skrypt po stronie klienta (powszechna praktyka w witrynach Web 2.0 ).

Problemy z bezpieczeństwem

W 2007 roku Michał Zalewski poinformował, że możliwe jest ominięcie sprawdzania tego samego pochodzenia i odczytywanie dokumentów z pamięci podręcznej (wyciwyg). W tamtym czasie dostęp do dokumentów wyciwyg:// był możliwy bez odpowiednich kontroli zasad samej domeny. Mogło to umożliwić atakującemu wykradzenie poufnych danych, zatrucie pamięci podręcznej i wykonanie własnego kodu lub wyświetlenie własnej treści z paskiem adresu URL i danymi certyfikatu SSL oryginalnej strony ( podszywanie się pod adres URL ). Zostało to naprawione w Firefox 2.0.0.5 i SeaMonkey 1.1.3.

[1] Demonstracja luki w zabezpieczeniach przeglądarki Firefox wyciwyg:// — Michał Zalewski

[2] Mozilla Foundation Security Advisory 2007-24: Nieautoryzowany dostęp do dokumentów wyciwyg://

Schematy jednolitego identyfikatora zasobów (URI).
Urzędnik	o akt łóżeczko dane plik ftp geo suseł http https informacje ldap poczta nfs nntp łyk / łyk etykietka telnet urna Pokaż źródło ws / wss xmpp
Nieoficjalny	Kawa ed2k bliźnięta karmić palec irc / irc6 / ircs ldaps magnes rsync ymsgr
Lista protokołów