mboost-dp1
unknown
Jeg ville personligt blive en smule mistænksom, hvis jeg feks var inde på nordea´s hjemmeside, og der kom en popup, hvor de bad mig om at skrive konto-oplysniger
Det er meget godt at vi har en masse gode mennesker der finder fejl i vores browsere..
Jeg tænker mere på - hvad med de eksperter der kender fejlene - UDEN at fortælle om dem?! DE må da være de mest farlige af dem alle.
Ærgerligt at vores pædagogiske tilgang til brugervenlige programmer skal medføre en masse sikkerhedsbrister - eller er det bare ikke nok gennemtænkt design når man laver fx en browser?
Igen - det er nok mest den 'almindelige' bruger det går ud over, og ikke os andre hardcore nørder der ikke finder os i noget som helst :o) og har de mest vanvittige paranoide programmer til at fortælle os om virus, trojaner, spyware etc. etc.
Jeg tænker mere på - hvad med de eksperter der kender fejlene - UDEN at fortælle om dem?! DE må da være de mest farlige af dem alle.
Ærgerligt at vores pædagogiske tilgang til brugervenlige programmer skal medføre en masse sikkerhedsbrister - eller er det bare ikke nok gennemtænkt design når man laver fx en browser?
Igen - det er nok mest den 'almindelige' bruger det går ud over, og ikke os andre hardcore nørder der ikke finder os i noget som helst :o) og har de mest vanvittige paranoide programmer til at fortælle os om virus, trojaner, spyware etc. etc.
Jeg vil ikke mene at man rigtigt kan kalde det et sikkerhedshul..
Det eneste der bliver gjort, er jo at den lovlige side fremkalder et popupvindue ved navn "foobar" (kun et eks.), og man så på phishing siden, fremkalder en popup ved nøjagtig samme navn. I sådan et tilfælde vil popup vinduet "foobar", som den lovlige side aktiverede, jo blive lavet om til den ulovlige..
Det ville jo være det samme, hvis den lovlige side selv gav "foobar" et andet indhold.. bortset fra at det så ikke er helt så ulovligt..
[offtopic]
#2
Paranoid?.. hvem er paranoid her?..
Jeg er ikke paranoid bare fordi jeg har 3 antivirus programmer kørende, 3 live spy-/adware programmer og jeg formaterer min pc hver 3. dag..
Desuden så stoler jeg ikke rigtigt på de programmer jeg kører, så jeg har også lært alle filerne i min WinXP at kende (navn, filstørrelse, senest ændret m.m.), så jeg ved hvornår der er noget galt, når jeg manuelt scanner igennem systemet et par gange om dagen..
[/offtopic]
Det eneste der bliver gjort, er jo at den lovlige side fremkalder et popupvindue ved navn "foobar" (kun et eks.), og man så på phishing siden, fremkalder en popup ved nøjagtig samme navn. I sådan et tilfælde vil popup vinduet "foobar", som den lovlige side aktiverede, jo blive lavet om til den ulovlige..
Det ville jo være det samme, hvis den lovlige side selv gav "foobar" et andet indhold.. bortset fra at det så ikke er helt så ulovligt..
[offtopic]
#2
Paranoid?.. hvem er paranoid her?..
Jeg er ikke paranoid bare fordi jeg har 3 antivirus programmer kørende, 3 live spy-/adware programmer og jeg formaterer min pc hver 3. dag..
Desuden så stoler jeg ikke rigtigt på de programmer jeg kører, så jeg har også lært alle filerne i min WinXP at kende (navn, filstørrelse, senest ændret m.m.), så jeg ved hvornår der er noget galt, når jeg manuelt scanner igennem systemet et par gange om dagen..
[/offtopic]
Kan ærligt talt heller ikke se at dette skulle kaldes for et sikkerhedshul. At hvem som helst kan lave en falsk side, og så snyde uopmærksomme brugere har jo intet med browseren at gøre. Det er bare simpelt bondefangeri.
#7 -
10. dec. 2004 09:29
2: Interessant synspunkt; det amerikanske sikkerhedsagentur, NSA, har følgende formålsparagraf på deres hjemmeside:
"The ability to understand the secret communications of our foreign adversaries while protecting our own communications -- a capability in which the United States leads the world -- gives our nation a unique advantage."
Se http://www.nsa.gov/about/about00003.cfm
Med kildekoden til Swindeldows og Linux, MAC OSX mv mv, ja så ærgrer de sig sikkert hver gang offentligheden finder et nyt hul, ihvertfald hvis det allerede står på deres liste.
"The ability to understand the secret communications of our foreign adversaries while protecting our own communications -- a capability in which the United States leads the world -- gives our nation a unique advantage."
Se http://www.nsa.gov/about/about00003.cfm
Med kildekoden til Swindeldows og Linux, MAC OSX mv mv, ja så ærgrer de sig sikkert hver gang offentligheden finder et nyt hul, ihvertfald hvis det allerede står på deres liste.
#8 -
10. dec. 2004 09:31
Er der nogen der ved om dette er swindeldows, Linux, begge dele, etc? Det kan jo være systemkald eller API der har fejlen.
Æv, min bank (Forstædernes) bruger popups :/
Det virker både på Windows og Linux.
#4
Jow, det _er_ en sikkerhedsfejl. En side der ikke har noget med en anden side at gøre, skal ikke kunne ændre eller læse hinanden.
Ville du f.eks. syntes det ville være fedt hvis du har surfet rundt på en masse hjemmesider (f.eks. email), og du så lige åbner google for at søge, og så at google kan læse alt din mail og se hvor du har været?
P.S - hvis man syntes det er interessant at følge hvordan sådan en bug bliver rettet kan man følge med her:
https://bugzilla.mozilla.org/show_bug.cgi?id=27369...
Det virker både på Windows og Linux.
#4
Jow, det _er_ en sikkerhedsfejl. En side der ikke har noget med en anden side at gøre, skal ikke kunne ændre eller læse hinanden.
Ville du f.eks. syntes det ville være fedt hvis du har surfet rundt på en masse hjemmesider (f.eks. email), og du så lige åbner google for at søge, og så at google kan læse alt din mail og se hvor du har været?
P.S - hvis man syntes det er interessant at følge hvordan sådan en bug bliver rettet kan man følge med her:
https://bugzilla.mozilla.org/show_bug.cgi?id=27369...
#3 Hvorfor dekompilerer du ikke alle dine programmer og gennemlæser så du nu er _helt_ sikker på de ikke laver mystiske uautoriserede ting? ;) SoftICE er at anbefale...
#11 Nå jaaa, du kunne jo istedet forklare manden som klart ikke er übernørd, at han bør læse og forstå forskellen på et library fejl og x-site scripting phishing tricks - han tænker sikkert på JPEG heap overflow fejlen når han spørger sådan.
#11 Nå jaaa, du kunne jo istedet forklare manden som klart ikke er übernørd, at han bør læse og forstå forskellen på et library fejl og x-site scripting phishing tricks - han tænker sikkert på JPEG heap overflow fejlen når han spørger sådan.
Det skal forstås på den måde at man er så stor en idiot, at man på opfordring af et skummelt site eller en email prøver at logge ind hos sin bank. Du åbner et popup vindue for at logge ind hos din bank, det skumle site ændrer så popup vinduet så at du giver dem dine login informationer og ikke din bank.
Hvis folk logger ind hos deres bank i sådan en situation, så fortjener de næsten at blive snydt. Det er så lang fra et sikkerhedshul som man kan komme.
Hvis folk logger ind hos deres bank i sådan en situation, så fortjener de næsten at blive snydt. Det er så lang fra et sikkerhedshul som man kan komme.
#14
Du får en email fra din bank. Afsenderen passer, da det ikke er muligt at se hvor mailen oprindeligt er kommet fra. I den mail står der at de har lavet et nyt system, hvor du kan bruge banken til at betale for internettjenester med et enkelt klik.
Det eneste man skal gøre er at logge sig ind i webbanken og melde sig til. Så er der et link til forbank.dk i mailen. Man trykker på linket, trykker login til webbank (som åbner et pop up vindue), skriver sin kode og trykker log ind.
w00p, du har lige sendt din kode og password fil til en person på nettet.
_Jeg_ ville falde i hullet, da det eneste jeg undersøger er at linkene passer i de mails jeg får.
Du får en email fra din bank. Afsenderen passer, da det ikke er muligt at se hvor mailen oprindeligt er kommet fra. I den mail står der at de har lavet et nyt system, hvor du kan bruge banken til at betale for internettjenester med et enkelt klik.
Det eneste man skal gøre er at logge sig ind i webbanken og melde sig til. Så er der et link til forbank.dk i mailen. Man trykker på linket, trykker login til webbank (som åbner et pop up vindue), skriver sin kode og trykker log ind.
w00p, du har lige sendt din kode og password fil til en person på nettet.
_Jeg_ ville falde i hullet, da det eneste jeg undersøger er at linkene passer i de mails jeg får.
Har lidt svært ved at gennemskue om det virkelig er en fejl eller lidt alá den lignende notice der var for noget tid siden som nemlig snarere var "bondefangeri".
#11 sjovt du så alligevel gjorde det i stedet for at ignorere kommentaren og håbe på at forfatteren ikke følte sig så sjovt alligevel..
#3 nej du er ikke paranoid du er bare dum .. :P
#18 selvom jeg nu godt synes konqueror burde betegnes som en større browser (er jo nærmest kde's svar på ie(no offence)) så tror jeg næppe de har taget den med i gruppen "større browsere"
#11 sjovt du så alligevel gjorde det i stedet for at ignorere kommentaren og håbe på at forfatteren ikke følte sig så sjovt alligevel..
#3 nej du er ikke paranoid du er bare dum .. :P
#18 selvom jeg nu godt synes konqueror burde betegnes som en større browser (er jo nærmest kde's svar på ie(no offence)) så tror jeg næppe de har taget den med i gruppen "større browsere"
#22
Det er ikke alle der gemmer deres login oplysninger i browseren. Så bare fordi at sikkherhedshullet ikke har betydning for dig, er det ikke ensbetydende med at det ikke er et sikkerhedshul.
Hvis browseren havde slettet oplysningerne ville jeg personligt bare skrive dem ind igen, da det (desværre) rimelig tit sker at min computer crasher og sletter mine indstillinger :/
Så hvis 'featuren', som du må opfatte det som, ikke havde været der, ville jeg ikke være blevet snydt af phisheren. Så for mig er det bestemt et sikkerhedshul.
Det er ikke alle der gemmer deres login oplysninger i browseren. Så bare fordi at sikkherhedshullet ikke har betydning for dig, er det ikke ensbetydende med at det ikke er et sikkerhedshul.
Hvis browseren havde slettet oplysningerne ville jeg personligt bare skrive dem ind igen, da det (desværre) rimelig tit sker at min computer crasher og sletter mine indstillinger :/
Så hvis 'featuren', som du må opfatte det som, ikke havde været der, ville jeg ikke være blevet snydt af phisheren. Så for mig er det bestemt et sikkerhedshul.
#22
Som #17 også skriver så er behøves det jo ikke at være div. kontooplysninger som de beder om, det kan jo bare være en log-on pop-up, som så giver dem din kode og logon-fil...
Igen, banken har nok de oplysninger i forvejen, men du indtaster dem jo stadig hver gang du logger på netbank.
Spørgsmål: Er man en kæmpeidiot hvis man logger på sin netbank?
Som #17 også skriver så er behøves det jo ikke at være div. kontooplysninger som de beder om, det kan jo bare være en log-on pop-up, som så giver dem din kode og logon-fil...
Igen, banken har nok de oplysninger i forvejen, men du indtaster dem jo stadig hver gang du logger på netbank.
Spørgsmål: Er man en kæmpeidiot hvis man logger på sin netbank?
#25
Ja, eller følger et link i en mail, som du har fået fra en mail-adr. som matcher din bank. Som #17 beskriver, og som jeg også skriver i starten af #24..
De plejer at have en ok god fantasi, dem som udnytter folks svagheder..
Så jeg tror ikke at du skal regne med at det bliver noget hen i retningen:
1. surfer xxxanalslutteenwhores.com
2. Der kommer en pop-up fra min bank, og logger ind...
Hvis man gør det, så vil jeg give dig ret i at man er en idiot..
Men jeg tror næppe at det bliver på den måde at det sker...
Scenariet som #17 beskriver lyder meget mere sandsynligt (og sværere at gennemskue) hvis du spørger mig...
Ja, eller følger et link i en mail, som du har fået fra en mail-adr. som matcher din bank. Som #17 beskriver, og som jeg også skriver i starten af #24..
De plejer at have en ok god fantasi, dem som udnytter folks svagheder..
Så jeg tror ikke at du skal regne med at det bliver noget hen i retningen:
1. surfer xxxanalslutteenwhores.com
2. Der kommer en pop-up fra min bank, og logger ind...
Hvis man gør det, så vil jeg give dig ret i at man er en idiot..
Men jeg tror næppe at det bliver på den måde at det sker...
Scenariet som #17 beskriver lyder meget mere sandsynligt (og sværere at gennemskue) hvis du spørger mig...
Tjae jeg har Nordea Netbank, og nogle af kendetegnene er:
Ingen popups.
Logon via java applet.
Ingen emails medmindre bedt om.
Ingen SMS medmindre bedt om.
Så for mig er der ingen problemer. Medmindre de virkelig tager sig sammen til at få "fejlen" til at virke uden jeg har fået en email, uden en popup og med et java applet med digital signatur til Nordea.
Og jeg kan ikke forestille mig det skulle/måtte være anderledes for andre banker, så jeg vil da give sKIDROw ret.
Ingen popups.
Logon via java applet.
Ingen emails medmindre bedt om.
Ingen SMS medmindre bedt om.
Så for mig er der ingen problemer. Medmindre de virkelig tager sig sammen til at få "fejlen" til at virke uden jeg har fået en email, uden en popup og med et java applet med digital signatur til Nordea.
Og jeg kan ikke forestille mig det skulle/måtte være anderledes for andre banker, så jeg vil da give sKIDROw ret.
Hvad er "alle større browsere"?
Jeg får hverken fejlen i Opera 7.60 Preview build 7263 eller min Firefox 1.0PR?
Vil da nok mene at begge er nogle "større browsere"...
Hmm, synes egentlig det er en mærklig ting at kalde det et sikkerhedshul og så beskylde alle større browsere for at have det... Pffft...
Jeg får hverken fejlen i Opera 7.60 Preview build 7263 eller min Firefox 1.0PR?
Vil da nok mene at begge er nogle "større browsere"...
Hmm, synes egentlig det er en mærklig ting at kalde det et sikkerhedshul og så beskylde alle større browsere for at have det... Pffft...
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund