mboost-dp1
remora.ca
Bare lige for at forstå en ting, er de forundret over hvor dumme folk er på Internettet, eller er de forundret over hvor lidt sikkerhed der er for den enkelte netizen?
Internettet er det vilde vesten, og alle kan jo nærmest smide en ledning op og aflytte telegrafen, eller læse brevene fra the pony express.
Internettet er det vilde vesten, og alle kan jo nærmest smide en ledning op og aflytte telegrafen, eller læse brevene fra the pony express.
Det er et botnet forstået på den måde at de enkelte klienter selv, gennem hans java-trojan, sender data til deres server.
Nej umiddelbart er det ikke et 'typisk botnet' som kan bruges til DDoS eller lignende. Resultatet til gengæld er måske dog endnu bedre i netop denne case hvor jeg du velsagtens får adgang til alle mulige typer af logins til folks emails hvorfra du så højst sandsynligt kan få adgang til alt hvad de ellers har af online logins.
Nej umiddelbart er det ikke et 'typisk botnet' som kan bruges til DDoS eller lignende. Resultatet til gengæld er måske dog endnu bedre i netop denne case hvor jeg du velsagtens får adgang til alle mulige typer af logins til folks emails hvorfra du så højst sandsynligt kan få adgang til alt hvad de ellers har af online logins.
Dejligt at vide at vores NemID kan bruges som en angrebsvector BARE fordi at de baserer det på Java >.<
I stedet for overhovedet at bringe ordet "botnet" i spil vil jeg hellere kalde det for en variation af et MITM attack.
Blot fordi du har adgang til at afvikle javascript på en tilfældig computer, så er du stadig forhindret af XSS mekanismer i browseren som blokerer kontakt til andet end det domæne som brugeren p.t. besøger.
Blot fordi du har adgang til at afvikle javascript på en tilfældig computer, så er du stadig forhindret af XSS mekanismer i browseren som blokerer kontakt til andet end det domæne som brugeren p.t. besøger.
#7 - I teorien kunne anti-XSS omgås ved f.eks at få den omtalte "proxy-server" til at lytte/gemme alle requests til en given ressource (f.eks et POST til save-super-secret-trojan-stuff.html, uanset hvilken server du forespørger, eftersom requesten også går gennem proxy)
#5 - Du er dum at høre på, sæt dig dog ind i tingene istedet for at bashe.. Ja man kunne måske godt have implementeret et nemid uden brug af java, men alternativet vil være potentielt usikkert, da sikkerheden ville være op til den enkelte browser, desuden er java godt på den måde at du får besked, hvis det ikke er den rigtige nemid applet du bruger (f.eks hvis en laver en der ligner på en prik), det ville du ikke gøre hvis de havde brugt en "smart" HTML / JS / IFRAMED-SHIT / Oauth / whatever løsning
#5 - Du er dum at høre på, sæt dig dog ind i tingene istedet for at bashe.. Ja man kunne måske godt have implementeret et nemid uden brug af java, men alternativet vil være potentielt usikkert, da sikkerheden ville være op til den enkelte browser, desuden er java godt på den måde at du får besked, hvis det ikke er den rigtige nemid applet du bruger (f.eks hvis en laver en der ligner på en prik), det ville du ikke gøre hvis de havde brugt en "smart" HTML / JS / IFRAMED-SHIT / Oauth / whatever løsning
Blandt de 4.000 computere var der blandt andet svindlere der udgav sig for at være det Britiske Immigrationskontor, en mand der udgav sig for at være en kvinde og en anden svindler der solgte ikke-eksisterende hunde. De kunne også lave et botnet.Er jeg den eneste der synes at de sætninger overhovedet ikke hænger sammen? Men jeg er alligevel lidt imponeret over at de vha. javascript er i stand til at afgøre køn på en bruger. Og hvilken funktion i javascript bruger man til at finde ud af om hunde eksisterer?
Hvis der er et sikkerhedshul i browseren kan du jo ikke fjerne det ved at tilføje flere komponenter. Det åbner kun mulighed for flere sikkerhedshuller. (8) skrev:Ja man kunne måske godt have implementeret et nemid uden brug af java, men alternativet vil være potentielt usikkert, da sikkerheden ville være op til den enkelte browser
Nej. Det du får er en advarsel den første gang du bruger NemID fordi deres applet vil have så mange rettigheder. Når først du har sagt ja til det har du givet Danid kontrol over din computer (med så mange privilegier som din browser har). (8) skrev:desuden er java godt på den måde at du får besked, hvis det ikke er den rigtige nemid applet du bruger
Det har to konsekvenser. For det første er det ikke længere kun NemID der er i farezonen. Angreb kan nu også potentielt overtage din computer. For det andet kan en anden applet undgå at vise en advarsel ved ikke at bede om privilegier.
Hvordan ser du forskel på om du ingen advarsel får, fordi du allerede har godkendt appletten før, og om du ingen advarsel får, fordi du kører en anden applet, der ikke vil have privilegier?
silashansen (7) skrev:Blot fordi du har adgang til at afvikle javascript på en tilfældig computer, så er du stadig forhindret af XSS mekanismer i browseren som blokerer kontakt til andet end det domæne som brugeren p.t. besøger.
Snakker du om same origin policy som siger at JS kun kan tale med den server den er hentet fra?
XSS er en exploit type som p.g.a. manglende checks server sider kan få udført JS hos andre.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund