mboost-dp1
No Thumbnail
Jeg ved ikke om det kun er hos mig, men både IE og Firefox viser i titlen på alle popups, hvor vinduets indhold kommer fra - f.eks.: "http://total.ond.phishing.dk - Indtast venligst dit kontonr."
Så kan man selv bedømme om det kommer fra ens webbank.
Så kan man selv bedømme om det kommer fra ens webbank.
"Problemet består i, at et ondsindet website en bruger har fundet vej til," <-- Hvad skal det lige betyde?
#2 Det ikke en standard popup, men et javascript popup og der står adressen ikke i.
Det står ikke angivet i resumet her på siden, burde nok rettes.
Test det her: http://secunia.com/multiple_browsers_dialog_origin...
Det står ikke angivet i resumet her på siden, burde nok rettes.
Test det her: http://secunia.com/multiple_browsers_dialog_origin...
#5 Okay, nu har jeg forstået problemet. Opfattede det ellers som et vindue... men det er også forvirrende at begge bliver kaldt "popup".
Edit: Vil lige tilføje at hjemmesider med respekt for dem selv ikke benytter JavaScript-popups på den måde. Så jeg ville nok ikke indtaste noget eftersom det virker suspekt bare at der dukker en indtastningsboks op i ens webbank. :-)
Edit: Vil lige tilføje at hjemmesider med respekt for dem selv ikke benytter JavaScript-popups på den måde. Så jeg ville nok ikke indtaste noget eftersom det virker suspekt bare at der dukker en indtastningsboks op i ens webbank. :-)
Firefox har intet problem på linux.
Alle titler i firefox popups præfikses med domænet samt protokollen.
feks for en side med URL: http://www.google.com.phishing.dk/iamevil.html
vil følgende stå i titlen:
http://www.google.com.phishing.dk - <titel> - Mozilla Firefox
Men det var dog en ubetydelig phishing fejl, må man sige - men de har da ret - det kan udgøre et problem, hvis browseren ikke viser hvor man er.
edit:
Screenshot: http://mijav.dk/pub/phishing.png
og btw.: Så bruger _mange_ betalingssites popups i forbindelse når de benytter sig af DIBS og andre systemer - det er jo så fandens smart, synes de.
Alle titler i firefox popups præfikses med domænet samt protokollen.
feks for en side med URL: http://www.google.com.phishing.dk/iamevil.html
vil følgende stå i titlen:
http://www.google.com.phishing.dk - <titel> - Mozilla Firefox
Men det var dog en ubetydelig phishing fejl, må man sige - men de har da ret - det kan udgøre et problem, hvis browseren ikke viser hvor man er.
edit:
Screenshot: http://mijav.dk/pub/phishing.png
og btw.: Så bruger _mange_ betalingssites popups i forbindelse når de benytter sig af DIBS og andre systemer - det er jo så fandens smart, synes de.
Ja man kunne nemt se hvordan dette kunne udnyttes hvis hr. og fru. Jensen lige kommer til at taste forkert når de skal ind på deres netbank eller de får hijacked deres startside.
#8,#3
Det er en fin nyhed, men den er lidt svær at læse. Split sætningerne op, så resten af os - dem med et attention span på under 3 sekunder - kan holde interessen. ;-)
"Et ondsindet website kan dirigere dig til fx din netbank i en ny browser-session. Den ondsindede tredjepart kan derefter placere et pop-up vindue foran netbanken. Dette pop-up vindue kan indeholde felter til at indtaste passwords og lignende. Du kan derfor komme til at give vigtige personlige oplysninger til tredjepart."
...så ville jeg i hvert fald slippe med lidt færre gennemlæsninger.
Det er en fin nyhed, men den er lidt svær at læse. Split sætningerne op, så resten af os - dem med et attention span på under 3 sekunder - kan holde interessen. ;-)
"Et ondsindet website kan dirigere dig til fx din netbank i en ny browser-session. Den ondsindede tredjepart kan derefter placere et pop-up vindue foran netbanken. Dette pop-up vindue kan indeholde felter til at indtaste passwords og lignende. Du kan derfor komme til at give vigtige personlige oplysninger til tredjepart."
...så ville jeg i hvert fald slippe med lidt færre gennemlæsninger.
Det er hellere ikke et problem i AvantBrowser. Man kan altid se den fulde URL'en til popup vinduer i adresse baren.
Crap...
Kunne være man skulle skifte tilbage til avant indtil ff lapper hulet.. Om ikke andet så når man shopper ;)
Kunne være man skulle skifte tilbage til avant indtil ff lapper hulet.. Om ikke andet så når man shopper ;)
#9 > Det er javascript-indtastnings-dialogen du skal kigge på - der står intet om, hvilken side den hører til.
Se dette screenshot
Det ser tilsyneladende ud til, at javascript-indtastnings-dialogen hører til Google.
Kigger man på skærmen hele tiden, kan man godt se det lille popup-vindue der åbner, som efter et øjeblik dækkes af javascript-indtastnings-dialogen. Men det er måske ikke alle der tænker over det, eller kigger på deres skærm hele tiden.
Når man flytter javascript-indtastnings-dialogen, kan man godt se popup-vinduet bag ved, men det er ikke alle der tænker over at flytte dialogen.
Se dette screenshot
Det ser tilsyneladende ud til, at javascript-indtastnings-dialogen hører til Google.
Kigger man på skærmen hele tiden, kan man godt se det lille popup-vindue der åbner, som efter et øjeblik dækkes af javascript-indtastnings-dialogen. Men det er måske ikke alle der tænker over det, eller kigger på deres skærm hele tiden.
Når man flytter javascript-indtastnings-dialogen, kan man godt se popup-vinduet bag ved, men det er ikke alle der tænker over at flytte dialogen.
#17 Javascript og java har intet til fælles. (De bruger nu i øvrigt javascript til at fortælle, når der er gået 15 minutters inaktivitet. Dette kan dog næppe betegnes som en sikkerhedsrisiko.) Det jeg egentligt gerne vil vide er, om der findes nogen netbank, der beder om password eller lignende information vha. javascript.
Har jeg forstået det ret, at man sidder og klikker ind på en eller anden suspekt side og pludselig dukker ens netbank op sammen en javascript dialogboks, der fortæller, at man skal skrive sit password til netbank. Så er det da ufatteligt, at nogen ukritisk bare indtaster sit password (ikke at jeg betvivler det). Iøvrigt hvordan i alverden kan de finde ud af, hvilken bank man bruger?
Har jeg forstået det ret, at man sidder og klikker ind på en eller anden suspekt side og pludselig dukker ens netbank op sammen en javascript dialogboks, der fortæller, at man skal skrive sit password til netbank. Så er det da ufatteligt, at nogen ukritisk bare indtaster sit password (ikke at jeg betvivler det). Iøvrigt hvordan i alverden kan de finde ud af, hvilken bank man bruger?
#19 > Det kunne f.eks. være, at man har Danske Bank og vil ind på deres netbank. Så skriver man deres adresse, www.danskenetvank.dk, og så kommer man ind på Danske Netbank, hvor der kommer en javascript-dialog frem der spørger efter ens password; "de har da lavet det om", tænker man, hvorefter man indtaster sit password og anden info, uden at tænke nærmere over det, for man er jo ikke så teknisk.
Åh nej lad os alle flygte ned i vores huler nu går jorden onder for dette extreme "sikkerhedshul" vil fra nu at blive udnyttet verden over og ingen vil længere kunne føle sig sikker...
/ironi
1. Det her har allerrede været oppe og vende en gang for noget tid siden så vidt jeg husker?
2. Bryder mig ikke om at det bliver kaldt et sikkerhedshul i browseren eftersom jeg tvivler på at det er noget udviklerne af diverse browsere overhovedet ikke har tænkt på.. det virker som en tilfældighed og udviklerne bag føler sig nødsaget til at oplyse brugeren om hvor js popup'en kommer fra.
Derfor er det heller intet problem at inkludere denne feature.
At kalde det et sikkerhedshul er ligesom at sige at det er et sikkerhedshul at firefox default er markeret på download istedet for cancel når man klikker på et download link. (hvilken en meget faktuel firefox review indholdte for noget tid siden)
3. Hvis nogen rent faktisk falder for dette "extreme sikkerhedshul" så står verden da heller ikke længere..
/ironi
1. Det her har allerrede været oppe og vende en gang for noget tid siden så vidt jeg husker?
2. Bryder mig ikke om at det bliver kaldt et sikkerhedshul i browseren eftersom jeg tvivler på at det er noget udviklerne af diverse browsere overhovedet ikke har tænkt på.. det virker som en tilfældighed og udviklerne bag føler sig nødsaget til at oplyse brugeren om hvor js popup'en kommer fra.
Derfor er det heller intet problem at inkludere denne feature.
At kalde det et sikkerhedshul er ligesom at sige at det er et sikkerhedshul at firefox default er markeret på download istedet for cancel når man klikker på et download link. (hvilken en meget faktuel firefox review indholdte for noget tid siden)
3. Hvis nogen rent faktisk falder for dette "extreme sikkerhedshul" så står verden da heller ikke længere..
#20 Tak, tænkte ikke så langt. Ellers ikke fordi jeg ikke har hørt det før. Ved min netbank skal jeg vælge en sikkerhedsnøgle (en fil jeg har liggende på harddisken), før jeg indtaster password. Ved ikke om de øvrige banker har tilsvarende form for sikkerhed.
Jeg og de fleste herinde ville utvivlsomt blive noget mistænksomme, men det vidner selvfølgelig om, at den slags domæner skal lukkes.
I det nævnte eksempel er det nok begrænset, hvor meget det ville hjælpe, at man kan se domænet i titellinjen. Hvis man indtaster navnet lidt forkert, er det vel heller ikke sikkert man lægger mærke til, at der er en stavefejl i titellinjen. Og de, der laver den slags svindel, er næppe dumme nok til at indkludere phishing i stien. Man må også konkludere, at man bør søge at undervise de folk, der hopper på den slags i at være lidt kritiske. Men det er sikkert lettere sagt end gjort.
EDIT: Målgruppen for denne svindel ved vel næppe heller hvad phishing er.
Jeg og de fleste herinde ville utvivlsomt blive noget mistænksomme, men det vidner selvfølgelig om, at den slags domæner skal lukkes.
I det nævnte eksempel er det nok begrænset, hvor meget det ville hjælpe, at man kan se domænet i titellinjen. Hvis man indtaster navnet lidt forkert, er det vel heller ikke sikkert man lægger mærke til, at der er en stavefejl i titellinjen. Og de, der laver den slags svindel, er næppe dumme nok til at indkludere phishing i stien. Man må også konkludere, at man bør søge at undervise de folk, der hopper på den slags i at være lidt kritiske. Men det er sikkert lettere sagt end gjort.
EDIT: Målgruppen for denne svindel ved vel næppe heller hvad phishing er.
#20 det eksempel du beskriver der er så ikke helt det problem som der er med den her sårbarhed.
Den her sårbarhed kommer hvis man klikker på et link, f.eks. et til danskebank og så kommer javascript-boxen frem.
Det du beskriver, er en hel side som faker danske banks side og er i sig selv ikke nogle sårbarhed, da alle kan købe et domæne der ligger tæt på andre sider og placere en JS box på.
Den her sårbarhed kommer hvis man klikker på et link, f.eks. et til danskebank og så kommer javascript-boxen frem.
Det du beskriver, er en hel side som faker danske banks side og er i sig selv ikke nogle sårbarhed, da alle kan købe et domæne der ligger tæt på andre sider og placere en JS box på.
Jeg ville måske synes at det ville virke lidt mærkeligt hvis min netbank pludselig bad mig indtaste mit password i en javascript alert box.. men ok - stadig et problem at det ikke er mere tydeligt hvor den kommer fra.
Det kan dog godt ses i FireFox hvor den kommer fra. Når javascript-boksen er aktiv vil det også være boksens vindue der er aktiv på taskbaren, og ikke fx din netbanks. Du kan også se adressen ved at holde musen over det aktive vindue i taskbaren.
Det kan dog godt ses i FireFox hvor den kommer fra. Når javascript-boksen er aktiv vil det også være boksens vindue der er aktiv på taskbaren, og ikke fx din netbanks. Du kan også se adressen ved at holde musen over det aktive vindue i taskbaren.
Nu er det forhåbentlig heller ikke ret mange der stoler på links fra ondsindede sites til gode sites. Specielt ikke efter de problemer der har været omkring den teknik der bruges til fx æøå i domæner (kan ikke lige huske navnet). Løsningen var vist at man aldrig, aldrig må bruge links for at klikke sig til fx sin netbank. Man skal altid selv skrive adressen i adressebaren, hvilket til gengæld kan aktivere en visse keyloggere... Det er godt nok ikke nemt at være gennemsnitscomputerbruger.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund