Názory k článku E-mailové schránky Centrum, Volný a Tiscali v ohrožení (doplněno)
-
Michal Kára (neregistrovaný)Co tak koukam, tak ve vypisu cookies Centra neni autentizacni cookie - opravdu je mozne takto proniknout do schranky?
A mimochodem - nedavno se vedly tu i na rootu plamenne diskuse o tom, jestli HTML striktne v XML forme nebo ne. Podobne XSS chyby na webmailech jsou casto zpusobeny tim, ze browser parsuje chybny kod jinak, nez "odstranovac nepratelskych kodu" ve freemailu. -
anonymníProc myslis, ze tomu nerozumim? Ja myslim, ze tomu nerozumis ty, jinac bys takovy blaboly nepsal. Tady se nejdna o cookies, tady se jedna o chybu nalezenou na centrum.sk/cz, volny.cz a tiscali. Uvedené cookies, bylo jen pro demostraci uvedeneho typu utoku, kazdopadne vyuzitelnost chyb, kradezi cookies nekonci, pokud muzeme aplikovat veskery kod, ktery se da zapsat do html, kradezi cookies to jen zacina. Pak nasleduje drtivy utok na server == hledani hesel, useru apd.
S pozdravem qteck autor clanku. -
Michal Kára (neregistrovaný)Ale _jake_ chyby? Vlozeni JS, nebo dostani se timto zpusobem do uzivatelovy stranky? Prvni je sice problem, ale ne zavazny.
Druhe je velky problem, ale nevidim zadnou indicii, ktera by potvrzovala, ze to opravdu slo.
A clanek vyslovne tvrdi, ze se slo dostat do uzivatelovy schranky. -
mahony (neregistrovaný)Tak pozor netvrdi se, ze by to opravdu slo "kterých byly objeveny závažné chyby, díky kterým není nemožné dostat se do emailových schránek". Ale neni to vyloucene, zalezi na tom, jak chybu hacker vyuzije, pokud se vam zda VBS, ajax, ci JS slaba zbran, tak jste na omylu, rad bych demonstraval nejaky monohem lepsi utok, ale bohuzel nemuzu si to dovolit, at uz kvuli casu, tak kvuli neznalosti techto jazyku v JS se sice orientuju a pracuju snim, ale slozite scripty bych napsat nedokazal. Myslim, ze uzivatelska schranka je opravdu to nejsmensi sousto co by slo z techto serveru dostat.
-
Michal Kára (neregistrovaný)Hned v anotaci odkazovaneho clanku je napsano "Pomoci této chyby je možné dostat se do cizí emailové schránky.". A (opakuji uz potreti), zatim nebylo predlozeno nic, co by naznacovalo, ze to u Centra a Volneho opravdu slo.
Jelikoz se JS ani VBS nepousti na serveru ale u klienta, tak serverum neuskodite ani nahodou. Pokud se XSS poravdu vyskytne, muzete v nejhorsim pripade ziskat pristup do uzivatelovy schranky, ale to je asi tak vsechno. Jo, jeste mu muzete pozotvirat x okynek na obrazovce. -
anonymnícsrf = Cross-site request forgery...
Osobne bych to zahrnul pod xss a nerikal tomu samostatne pac to dost souvisi... Spatne se to vysvetluje, juknete na wiki:
http://en.wikipedia.org/wiki/Csrf -
qteck (neregistrovaný)Vysvetlivka pro Stepana:
Ajax: (X)HTML+CSS+DOM+JS+XHR strucne se tomu rika ajax!
Mahony je jedinej, kterej tu rika aspon 50% pravdu a je jedinej, ktereho ponizite, njn blbci.
Typ utoku, ktery jsem demonstrativne predvedl byl jen bay si lidi udelali obrazek v zadnem pripade jsem necekal nic, jako u tiscali. Vy tvrdite ze chyba byla nevyuzitelna? ta chyba vyuzitelna byla stejne, jako na cetrumu, u vas a tiscali. Nejedna se primo hup cup mam heslo, dala by se poslat napriklad priloha, ktera by obsahovala prihlasovaci formular, lajk si toho nevsimne url, nebude vzbuzovat takovou pozornost, protoze lezi na sve domene, kdyz jsem to testoval uspech byl 100% z deseti lidi a tomu rikate, ze chyba neni vyuzitelna?
Zakecavat vlastni chyby vas moc dobre neprezentuje, obzvlaste, kdyz rikate, ze vas system je proti nemu imuni? posledni dva mesice me presvedcily, ze na ceskym internetu je hodne malo imunich webu, vy mezi ne nepatrite. S pozdravem autor clanku, qteck.
ČLÁNKY DO MAILU