A böngészők egyik legrégebbi funkciójáról van szó: amelyik linket már meglátogattuk, annak színe megváltozik. Remek dolog, hiszen könnyíti a navigálást. Röviden: a meglátogatott linkek másféle stílust kapnak, ehhez azonban valahol tárolni kell ezt a bizonyos linkeket, különben nem tudja mi alapján „átszínezni” a CSS. A „CSS history-attack” néven elhíresült támadás a böngészők ezen funkcióját használja ki.

A hiba legalább tízéves, és a hackerek, illetve a „phishing” (adatvadász) oldalak előszeretettel használják. Gyakorlatilag észrevétlenül megnézik, hogy milyen oldalakat látogattunk eddig, miközben mi ezt észre sem vesszük. Ha ki akarjuk próbálni a CSS history-attackot, akkor ezen a címen veszélytelenül megtehetjük.

A biztonsági rés „betömésére”  a legegyszerűbb módszer az lenne, ha egész egyszerűen megszüntetnék az ún. visited link (meglátogatott link) funkciót, és nem lenne más színű az a link, amire már előzőleg kattintottunk. Ez azonban nagyon drasztikus megoldás lenne, ráadásul a neten lévő milliárdnyi weboldal kb. 90%-a használja a visited link funkciót, nem lehet egy létező megoldást csak úgy „kihúzni” a felhasználók és a webfejlesztők alól…

A hibához nem is nyúlt senki. A Microsoft nem igazán foglalkozik vele, az Operát egy időben ugyan foglalkoztatta a kérdés, de nem találtak megnyugtató megoldást, a felhasználók pedig nem különösebben hisztérikusak, hiszen az exploit nem veszélyezteti gépüket (igaz, a privát szférájukat már annál inkább).

A Mozilla most döntött: a legújabb Firefox már védett lesz az ilyen jellegű adathalászat ellen. Cserébe előfordulhat, hogy egy-két weboldalon a meglátogatott link színe kicsit más lesz, de maga a funkció megmarad, miközben a hibát is elhárítják. Pontosabban megmarad, csak nagyon nehéz lesz kihasználni. Így tulajdonképpen ki is javítják, meg nem is...