mboost-dp1
unknown
Er det ikke det der kaldes "phishing" som kort fortalt er at snyde brugeren, uden der decideret er tale om brugen af en bug i en browser?
Det værste ved denne kategori af sikkerheds"fejl" er at de ikke er nemme at forhindre. Det gælder ofte om at opdrage brugeren eller lave skumle hacks så brugeren ikke er i tvivl om, hvad han/hun laver.
Det værste ved denne kategori af sikkerheds"fejl" er at de ikke er nemme at forhindre. Det gælder ofte om at opdrage brugeren eller lave skumle hacks så brugeren ikke er i tvivl om, hvad han/hun laver.
Regnte da godt nok heller ik med at alle de andre browsere var perfekte, så at sige :)
Der vil da altid være et huller ellers vil den browser der ik er da være perfekt? Det behøves den selvfølgelig ikke at være men det ville være nemt at gøre den helt perfekt i hvert fald :)
Men håber da man kan få trixet de "største" huller :)
Der vil da altid være et huller ellers vil den browser der ik er da være perfekt? Det behøves den selvfølgelig ikke at være men det ville være nemt at gøre den helt perfekt i hvert fald :)
Men håber da man kan få trixet de "største" huller :)
Jeg synes umiddelbart at IE hullet lyder værst, når det så er sagt, så er der selvfølgelig huller i alle browserne, men hvis de prøver at sige at alle browsere er lige usikre, så synes jeg det her er et dårligt eksempel.
[Sikkerhedshullerne i Mozilla, Mozilla Firefox og Camino, Netscape, Avant Browser og Maxthon kan udnyttes til at åbne dialogbokse i inaktive tabs og til få informationer fra et input-felt.]
Hmm, lyder lidt uheldigt. Man kan jo ikke bare stoppe for brugen af det, da det sagtens kan bruges fornuftigt til nogle ting, men et filter der gør det kun kan lade sig gøre, hvis den anden tab viser en side fra samme domæne ville nok være smart.
Hmm, lyder lidt uheldigt. Man kan jo ikke bare stoppe for brugen af det, da det sagtens kan bruges fornuftigt til nogle ting, men et filter der gør det kun kan lade sig gøre, hvis den anden tab viser en side fra samme domæne ville nok være smart.
Det med mozilla har jeg været ude for. Når jeg starter min ffox loader jeg to sider, skriver et site med automarkering på login felt, trykker Ctrl+T, og skriver det nye af den nye side mens den anden side loader, bliver tekstfeltet loadet mens jeg skriver den nye adresse havner det i den gamle tab.
Det har jeg ihvertfald været ude for et par gange.
Det er jo ikke decideret det fejlen er, men det er bare det at der kan køre aktive ting i en ikke-aktiv tab.
Det har jeg ihvertfald været ude for et par gange.
Det er jo ikke decideret det fejlen er, men det er bare det at der kan køre aktive ting i en ikke-aktiv tab.
#1
Det burde browseren nu kunne forhindre.
Den her;
http://secunia.com/multiple_browsers_dialog_box_sp...
Gør at en dialog box fra en tab(secunia) viser sig oven på en anden tab(citibank), og derved foranlediger brugeren til at tro at det er citibank, der vil have dit logon/pass på en ny og sikrere måde.
Det må kunne fixes på browserniveau. Kun dialogboxe fra browseren selv må være 'globale', alle andre skal undertrykkes indtil man er på den rigtige tab. (eller er det ikke så nemt?)
Den her;
http://secunia.com/multiple_browsers_form_field_fo...
har så ingen effekt på mit system.
EDIT:!!!!!
fuck da osse, den(link2) er sgu da endnu værre, den logger alle mine keystrokes på citibanks hjemmeside. (uden dialogbox)
(bruger lige nu FF på XP).
Det burde browseren nu kunne forhindre.
Den her;
http://secunia.com/multiple_browsers_dialog_box_sp...
Gør at en dialog box fra en tab(secunia) viser sig oven på en anden tab(citibank), og derved foranlediger brugeren til at tro at det er citibank, der vil have dit logon/pass på en ny og sikrere måde.
Det må kunne fixes på browserniveau. Kun dialogboxe fra browseren selv må være 'globale', alle andre skal undertrykkes indtil man er på den rigtige tab. (eller er det ikke så nemt?)
Den her;
http://secunia.com/multiple_browsers_form_field_fo...
har så ingen effekt på mit system.
EDIT:!!!!!
fuck da osse, den(link2) er sgu da endnu værre, den logger alle mine keystrokes på citibanks hjemmeside. (uden dialogbox)
(bruger lige nu FF på XP).
#6
Ja, og det burde være relativt nemt at lave et javascript der sender dataen automatisk...ikke smart :\
Der er vist lidt at lave til FF folkene.
Ja, og det burde være relativt nemt at lave et javascript der sender dataen automatisk...ikke smart :\
Der er vist lidt at lave til FF folkene.
#6
Jeg kan godt se problematikken, men hos mig bliver mine indtastninger slet ikke synlige, og jeg kan slet ikke give fokus til nogle af input-felterne på bank-sitet. Men hvis jeg er så dum at jeg forsøger at trykke på input feltet og ikke ser at den ikke tager fokus, hvorefter jeg taster ind og stadig ikke ser at der intet sker på siden, så JA - så er det en alvorlig fejl.
Der er ingen tvivl om at det er et problem, men det er begrænset hvor meget jeg vælger at kalde det en bug.
System: Windows XP SP2, Firefox 1.0PR
Jeg kan godt se problematikken, men hos mig bliver mine indtastninger slet ikke synlige, og jeg kan slet ikke give fokus til nogle af input-felterne på bank-sitet. Men hvis jeg er så dum at jeg forsøger at trykke på input feltet og ikke ser at den ikke tager fokus, hvorefter jeg taster ind og stadig ikke ser at der intet sker på siden, så JA - så er det en alvorlig fejl.
Der er ingen tvivl om at det er et problem, men det er begrænset hvor meget jeg vælger at kalde det en bug.
System: Windows XP SP2, Firefox 1.0PR
#12 Rigtigt nok,
men sådan nogen indtastninger foregår jo ofte på ryggraden, så man er færdig med sin tastning, inden man opdager at der er noget galt.
Der er dog også de noobs(især de ældre af slagsen) der skiftevis trykker(målbevidst) på en tast, for derefter at tjekke(hen over brillen) at der skete noget på skærmen, for til sidt at fuldende loopet med det næste bogstav.
(for en gangs skyld, vil de ikke være de oplagte ofre)
Dialogboxen ville de dog næppe opdage noget fusket ved.
men sådan nogen indtastninger foregår jo ofte på ryggraden, så man er færdig med sin tastning, inden man opdager at der er noget galt.
Der er dog også de noobs(især de ældre af slagsen) der skiftevis trykker(målbevidst) på en tast, for derefter at tjekke(hen over brillen) at der skete noget på skærmen, for til sidt at fuldende loopet med det næste bogstav.
(for en gangs skyld, vil de ikke være de oplagte ofre)
Dialogboxen ville de dog næppe opdage noget fusket ved.
#13
Hvis din indtastning forgår "på rygraden" hvor ser du så hen imens du taster?
Jeg har for vane at kigge på skærmen mens jeg taster. Det er naturligtvis lidt Noobisk af mig, da alle haxercraxerne kigger på en satin ming vase i et vindue af rent guld, men det reder mig fra at taste ting de forkerte steder.
Denne bug ser ud til at ramme de brugere af computere, der har besluttet sig for at bruge hunt and peck principet samtidigt med komplet at ignorere skærmen, for derefter godtroende at trykke på enter, IGEN uden at kigge på skærmen, selv hvis der er tale om et bank konto login.
Altså en meget lille del af brugerne. Specielt da Mozillas gennemsnits brugere er en del mere erfarne end gennemsnits computerbrugere.
Hvis din indtastning forgår "på rygraden" hvor ser du så hen imens du taster?
Jeg har for vane at kigge på skærmen mens jeg taster. Det er naturligtvis lidt Noobisk af mig, da alle haxercraxerne kigger på en satin ming vase i et vindue af rent guld, men det reder mig fra at taste ting de forkerte steder.
Denne bug ser ud til at ramme de brugere af computere, der har besluttet sig for at bruge hunt and peck principet samtidigt med komplet at ignorere skærmen, for derefter godtroende at trykke på enter, IGEN uden at kigge på skærmen, selv hvis der er tale om et bank konto login.
Altså en meget lille del af brugerne. Specielt da Mozillas gennemsnits brugere er en del mere erfarne end gennemsnits computerbrugere.
Så vidt jeg kan overskue, så er det javascript? Det er da nemt nok at vise til brugeren hvad han selv taster.. de mangler ligesom at transportere dataen til deres egen server, altså få browseren til at sende det der står i inputfeltet til serveren.. men det kan måske klares nemt? Man kan autosubmitte en form eller hvad?
Den første fejl #6 linker til ser jeg ikke det helt store problem i,udover at den selvfølgelig nemt kan lede til den anden fejl.
Det er i øvrigt kun fejl 1 jeg kan få til at virke i Opera 7.54, jeg får simpelthen lov til at sætte fokus der hvor jeg vil.
I IE kan jeg kun komme over på den der citibank side, ved at minimere secunias side - det minder nærmest mere om en eller anden grum popup der stjæler fokus :)
I Firefox kan jeg godt se at der intet sker hvis jeg klikker i et form felt, og hvis jeg bare begynder at skrive, vil der ikke ske noget - udover at det kommer i feltet på secunias side.
Dog synes jeg egentligt ikke at det er det store problem med nogle af de to bugs: Enten virker det ikke (ordentligt), eller også skal man være vant til meget hutigt at begynde at skrive efter man har klikket på et felt - jeg plejer f.eks. altid lige at kigge efter om der overhovedet er en tekstmakør, det kunne jo være jeg i al min hast klikkede ved siden af :)
Dog kunne det måske være et problem på sider som google, hvor man er vant til at fokus automatisk sættes i søgefeltet... Men igen, hvem gider logge ens google-søgninger?
Det er i øvrigt kun fejl 1 jeg kan få til at virke i Opera 7.54, jeg får simpelthen lov til at sætte fokus der hvor jeg vil.
I IE kan jeg kun komme over på den der citibank side, ved at minimere secunias side - det minder nærmest mere om en eller anden grum popup der stjæler fokus :)
I Firefox kan jeg godt se at der intet sker hvis jeg klikker i et form felt, og hvis jeg bare begynder at skrive, vil der ikke ske noget - udover at det kommer i feltet på secunias side.
Dog synes jeg egentligt ikke at det er det store problem med nogle af de to bugs: Enten virker det ikke (ordentligt), eller også skal man være vant til meget hutigt at begynde at skrive efter man har klikket på et felt - jeg plejer f.eks. altid lige at kigge efter om der overhovedet er en tekstmakør, det kunne jo være jeg i al min hast klikkede ved siden af :)
Dog kunne det måske være et problem på sider som google, hvor man er vant til at fokus automatisk sættes i søgefeltet... Men igen, hvem gider logge ens google-søgninger?
Eneste jeg har afprøvet er de to til FF.
Ja hold da op nogle slemmer BUGS der er i FireFox da!!
"Det er interessant at se, at ligegyldigt hvilken browser du bruger, så kan du i dag være udsat for sårbarheder."
Så nu er det en sårbarhed at en browser kan JS ? Flot mufasa.
Klap hesten en ekstra gang ved næste "sårbarhed" :|
Ja hold da op nogle slemmer BUGS der er i FireFox da!!
"Det er interessant at se, at ligegyldigt hvilken browser du bruger, så kan du i dag være udsat for sårbarheder."
Så nu er det en sårbarhed at en browser kan JS ? Flot mufasa.
Klap hesten en ekstra gang ved næste "sårbarhed" :|
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund