Předmět Autor Datum
No pekne. Dobre, ze si hesla neukladam :-) Pre verziu 1.5.0.8 to neplati?
GTX 23.11.2006 13:58
GTX
Platí i pro starší verze...
zdesmy 23.11.2006 14:00
zdesmy
plati pravidlo, ze prehliadac je tak bezpecny ako je malo pouzivany. pri sotware bezpecnosti vzdy pl…
IgorK 23.11.2006 14:42
IgorK
ted si napsal peknou kravinu 8-)
koffr 23.11.2006 15:11
koffr
skus sa nad tym zamysliet, preco som to povedal. nebavime sa o aplikacii typu hello world. :-p
IgorK 23.11.2006 15:12
IgorK
Nenapsal. Já mám například FF superbezpečný, jelikož v něm žádná uložená hesla nemám a používám jej…
Kráťa 23.11.2006 15:15
Kráťa
plati pravidlo, ze prehliadac je tak bezpecny ako je malo pouzivany. Dik, konečně jsem pochopil, p…
AZOR 24.11.2006 00:06
AZOR
Len blazon si uklada hesla kdekolvek, a v akomkolvek prehliadaci, a v akomkolvek programe, staci chy…
MM.. 23.11.2006 15:27
MM..
nie kazdy sa chova tak ako ty. ;-) btw., teraz musim odist, ale vecer ti napisem mozne zneuzitia. ch…
IgorK 23.11.2006 15:41
IgorK
Tak iste, ved aj kluce od domu mozu nechavat pod rohozkou, ale potom nech sa necuduju ked najdu dom…
MM.. 23.11.2006 16:11
MM..
Takze mi ukradnu heslo na tuto poradnu. Bankove v browseri ulozene nemam a ani mi to Firefox neponuk…
x22 23.11.2006 22:58
x22
zajtra vysvetlim, ake su mozne kombinacie a aj trochu pravdepodobnosti. dnes uz sa mi nechce, nie je…
IgorK 23.11.2006 23:07
IgorK
Neukradnu pretoze by museli vlozit nejaky vlastny (phishing) formular na domenu poradna.net, a to sa…
MM.. 23.11.2006 23:08
MM..
P.S. ak by sa sem dalo vkladat do prispevkov cokolvek, tak ti ukradnem konto na poradni cookie steal…
MM.. 23.11.2006 23:31
MM..
tak som sa k tomu konecne dostal. odpoved by som rozdelil do 2 celkov: 1. si treba uvedomit, ze poci…
IgorK 25.11.2006 18:46
IgorK
OK. Nečetl jsem ti to celé. Máš to přeci jen trochu delší, ale nelíbí se mi vaše logika spolu s Živě…
Flash_Gordon 26.11.2006 00:34
Flash_Gordon
Vysvetli mi ako das ten formular na seznam.cz Vysvetli mi naco ti je taky formular, a naco ti je tak…
MM.. 27.11.2006 09:31
MM..
Taky to tak vidím. Ta "chyba" je jen bublina vyvolaná nějakým Microsoftem nebo tak někým. Prostě něj…
Flash_Gordon 27.11.2006 09:44
Flash_Gordon
No, on ten clovek co to hlasil na bugzilla ma pravdu, on chce ze by mal vyskocit aspon nejaky warnin…
MM.. 27.11.2006 09:55
MM..
vsak formular na seznam.cz je dat uplne easy. staci sa zaregistrovat na seznam.cz a vytvortit si tam…
IgorK 27.11.2006 10:49
IgorK
Seznam ma hosting? Kde?
MM.. 27.11.2006 12:56
MM..
aj keby nemal, to vobec nie je podstatne, islo len o priklad. napr. szm.sk ma freehosting aj s freem…
IgorK 27.11.2006 13:08
IgorK
Nie, ja som sa len ako pouzivatel FF zamyslel, ze ktore heslo by mi mohol niekto cez tuto chybu ukra… poslední
MM.. 27.11.2006 16:14
MM..
A čo je podstatné, netreba náhodou aj odoslať? Čiže potvrdiť, že odosielam meno a heslo? Myslím tým…
msx. 26.11.2006 17:32
msx.
]:( Jak už jsem psal. Action ve formuláři může (narozdíl od Ajaxu, který kvůli bezpečnosti nemůže) o…
Flash_Gordon 26.11.2006 17:51
Flash_Gordon
Ešte by som chcel dodať, že táto chyba má za následok aj ďalší problém, ktorý si to berie so sebou.…
msx. 26.11.2006 17:46
msx.
To je IMHO skor "chyba" formularov na tej stranke.
MM.. 27.11.2006 09:37
MM..
To by som nepovedal. ID kód bol v zozname uložený pod rovnakou doménou a nevedel sa rozhodnúť, čo ta…
msx. 27.11.2006 10:31
msx.
Nie som si isty ako si to uklada FF, podla mna zavisi aj na nazve polozky vo formulari, asi ho dali…
MM.. 27.11.2006 12:52
MM..

Len blazon si uklada hesla kdekolvek, a v akomkolvek prehliadaci, a v akomkolvek programe, staci chytit jeden spyware (napr. cez jednu z miliona dier IE :-D) a utocnik si rpecita vsetky ulozene hesla kdekolvek su ulozene, ak niekde su ulozene. Takze ak je niekto blby nech si kupi notisek, a nie zapamatavat si heslo na HDD v PC :-)

BTW. ta "chyba" firefoxu je dost malo zneuzitelna (musel by som sa dostat na stranku utocnika na tej istej domene ako mam ulozene meno/heslo, a utocnik by ziskal heslo len na tu istu domenu, nie vsetky ulozene hesla).
Zas sa robi z komara slon.

Tak iste, ved aj kluce od domu mozu nechavat pod rohozkou, ale potom nech sa necuduju ked najdu dom "vybieleny" :-)
Sposoby zneuzitia su IMHO len phishing na multiuser weby a freemaily, a musel by si aspon raz kliknut na nejaky button (to uz by mal clovek spozorniet ak je v maile nejaky button ze "odoslat" :-D). Ale nemozes tym napadnut napr. inet-banking apod. (nemozes si dat vlastnu stranku na domenu banky), to by bola podla mna "kriticka chyba" (aj ked ja sam heslo nikde neukladam, len uvazujem kritickost chyby).

Inac zaujimave by bolo otestovat ci sa na taky formular nenachyta aj IE a Opera :-)

P.S. ak by sa sem dalo vkladat do prispevkov cokolvek, tak ti ukradnem konto na poradni cookie stealerom, nepotrebujem k tomu ziadnu "dieru" v prehliadaci.

multiuser weby som mal na mysli weby kde na jednej domene je vela uzivatelskych stranok a ak na ten web sa prihlasuje nejakym prihlasovacim formularom (tomu vyhovuju len niektore specialne pripady, napr. ako pisal ten co to zistil v tej linke z clanku na bugzillu, www.myspace.com, z beznych ma najznamejsi priklad napada freemail), a potom by si ale musel ty nejako (aktivne) sa dostat na stranku podvodnika, ktora by bola ale na tej istej domene (t.j. u freemailu jedina moznost je ze by si mal ten podvodny formular v prichodzom emaili), a tam by si musel este na nieco kliknut, tak to uz fakt je vsetko mozne ale nie bezpecna praca s PC.

tak som sa k tomu konecne dostal. odpoved by som rozdelil do 2 celkov:
1. si treba uvedomit, ze pocitace a software nie je vec kazdodenna a preto je irelevantne pokladat cloveka za blazna, ktory si uklada hesla do prehliadaca. mnoho a mozno sa nemylim ak poviem vacsina ludi nema k pocitacu ziaden vztah, preto sa snazia za kazdu cenu pracu si na nom pracu ulahcit a vlastne aj k tomu boli pocitace navrhnute. tu davam na vinu aj prehliadacom(pricina - dosledok), ze na cloveka pri zadani hesla vyleti dialog, ci si treba heslo zapamatat. clovek neznaly podvedome veri programu, ze mu chce pracu ulahcit a je dobre si nechat heslo zapamat, inac by ten dialog naho nevyskocil, vsakze. ;-)
2. teraz k samotnej chybe. ja som ju sice len preletel, ale pokial som to pochopil, tak hockde na multihostingu ti staci vytvorit formular s rovnakym nazvom a inputmi a firefox pretoze sa aj domenove meno zhoduje ti ho predvyplni. urobit teda skryty formular je uplne easy a staci len trochu predstavivosti a na tlacikto submit, klikne kazdy, nie len neznaly uzivatel ale aj znaly a aj ty. :-p staci zmenit layout, tlacitko cez css pekne customizovat, urobit nejaky hlasovaci formular(alebo len napisat na tlacitko(customizovane cez css - "dalsia stranka") a uz mam hesla. cize zoberme si teraz priklad - seznam.cz
pripravim si takto formular, kde bude akoze hlasovanie ci sa vam tato stranka paci(napr. od 1 do 5) a hodim link napr. na poradna.net. ver tomu, ze ludia zahlasuju a ti, ktori maju hesla zapamatane v prehliadaci, tak uz ich hesla vlastnim. ;-) ok, povieme si vsak to je len freemail. aj tu je problem, pretoze este mnoho ludi(vychadzamez bodu 1) pouziva takyto mail aj ako firemnu mail adresu. aj keby ju nepouzivalo, tak na takyto mail ti mozu dojst citlive informacie od niekoho ineho(neznaleho, nie blazna) a moze sa ku nim dostat nepovolana osoba. este ku heslam. pretoze ludska pamat nie je bezhranicna, vacsina ludi to bud robi takto, alebo si pise hesla na papierik, alebo dava heslam urcitu logiku, ktora ma vacsinou spolocny zaklad. cize aj ked hesla na rozne domeny ma ine, pri takomto sposobe nie je problem urobit program, ktory spoji slovnikovy utok(nas ziskany zaklad) s bruteforce utokom.
cize pre mna(nie osobne) ako osobu je tato chyba high critical.
btw., teraz ma napadlo, kedy som sa vlastne zacal zaoberat bezpecnostou. pretoze som od prirody paranoidny, tak som si uz ako 14 rocny vsimal ludi, ako sa chovaju pri trezoroch. urcite si pamatate, ze na staniciach boli uschovne na jednuchy zamok: kombinacia znaku abecedy a 3 cislic. v predu sa odomkynal a vo vnutri sa urcoval odomykaci kod. co myslis, kolko ludi si ho pri vybere batoziny zmenilo? poviem ti, ani jeden. myslis, ze sa toto neda zneuzit? nebudem davat navod, len poviem ze da. :-p:beer:
//edit: teraz ma napadlo, ze tam ani ziadne tlacitko submit netreba a da sa to urobit javascriptom. takze bez uplnej interaktivity uzivatela ziskam jeho heslo.

OK. Nečetl jsem ti to celé. Máš to přeci jen trochu delší, ale nelíbí se mi vaše logika spolu s Živě.
Píšete něco o neviditelném formuláři a nějakém prvku, který ten formulář odešle.
S prominutím hloupost ! Pomocí JS lze odeslat automaticky jakýkoliv formulář a to třeba Ajaxem na pozadí.

Takže pokud se takto skutečně FF chová pak stačí pokud na společném hostingu naťuká user do adresového řádku
nebezpečnou adresu. Zbytek provede JavaScript a to bez jakéhokoliv uživatelova vědomí nebo dalšího přičinění !

// Aha. Tak jsem to dočetl a už sis to uvědomil. ;-)

Vysvetli mi ako das ten formular na seznam.cz
Vysvetli mi naco ti je taky formular, a naco ti je taka chyba, ked tam rovno mozes drbnut cookie stealer (ak tam mozes dat formular tak mozes aj script) a nebude musiet nikto ani na nic klikat. P.S. samozrejme len ak server netestuje IP pre session.

Taky to tak vidím. Ta "chyba" je jen bublina vyvolaná nějakým Microsoftem nebo tak někým.
Prostě nějakým laikem nebo někým kdo má zájem Firefox pošpinit.
Tato chyba může existovat jedině pokud :
a ) Uživatel osobně zadá do www nebezpečnou www
b ) Daná www je na stejné doméně

Nevím jak kdo, ale konkrétně já takovou situaci nezažil. ;-)

No, on ten clovek co to hlasil na bugzilla ma pravdu, on chce ze by mal vyskocit aspon nejaky warning, prip. nech sa to vo FF nejak vylepsi, ale proste nesuhlasim s titulkom clanku "Chyba ve Firefoxu 2.0 dovoluje získat uložená hesla", ptz. to nie je pravda (ked tak v jednotnom cisle (jedno heslo), a len z tej istej domeny kde je utocnik), nejaky MS-pozitiv pisalek z toho robi bublinu zavadzajucim clankom.
Ja som tiez vzivote taku situaciu nezazil, ale da sa to samozrejme zneuzit, napr u tych freemailov, mali by to opravit.

vsak formular na seznam.cz je dat uplne easy. staci sa zaregistrovat na seznam.cz a vytvortit si tam stranku napr. seznam.cz/moja_firma ako na kazdom inom multihostingu(myslim, ze seznam ma freehosting) a tam si ten formular vlozit. cookie stealer ti je v tomto pripade nahovno, pretoze cookie sa posielaju v ramci stranky(napr. seznam.cz/moja_firma), nie v ramci celej domeny(seznam.cz), to by uz bola ina haluz. a v tomto pripade cookie ani byt vytvorena nemusi a za druhe, z cookie ani heslo nezistis. vsak nie je nic jednoduchsie, ako si to vyskusat.

aj keby nemal, to vobec nie je podstatne, islo len o priklad. napr. szm.sk ma freehosting aj s freemailom a takych free hostingov je vela. my dvaja mame ale iny problem. divame sa na vec z roznych stran. ty hladas moznosti, ako sa chyba neda zneuzit a ja zas opacne. keby si sa nato pozrel z mojej strany, do 5min. by si nasiel rozne moznosti.

]:( Jak už jsem psal. Action ve formuláři může (narozdíl od Ajaxu, který kvůli bezpečnosti nemůže) odesílat data na jakýkoliv server.
Nemusí tedy být v doméně. Celá tato akce klidně může proběhnout tak rafinovaně,že po přijmutí přihlašovacích údajů
může server přesměrovat uživatele na pravou stránku.

Ešte by som chcel dodať, že táto chyba má za následok aj ďalší problém, ktorý si to berie so sebou. Mám paušál od T-Mobile a po potvrdení mena a hesla na stránke sa prihlásim. Meno a heslo samozrejme zapamätané, ako inak. Potom sa prekliknem na stav Voľných minút a SMS a tu nastáva problém. Sem treba zadať ID kód. Po zadaní a potvrdení sa FF opýta, či si ho má zapamätať. Raz som klikol, že áno a mal som o problém postarané. Odvtedy FF nevedel, že čo má predvyplniť na hlavnej stránke, pretože v zozname hesiel prislúchajúcich k tejto stránke mal dve heslá. On nevedel, ktoré tam dať. Ja som teda ostal v tom, že prehliadače si pamätajú len doménu a nie celú adresu a bral som to ako vlastnosť. Keby som vtedy vedel, že sa jedná o chybu (nakoľko IE som na zapamätávanie hesiel nepoužíval a Operu som ešte nevyužíval) tak spomínaný článok sa tu omieľa omnoho skôr. Už dávno by som to bol nahlásil. Je zaujímavé, že čo sa človek postupom času dozvie.

Nie som si isty ako si to uklada FF, podla mna zavisi aj na nazve polozky vo formulari, asi ho dali rovnaky na prihlasenie a aj na ID. Mozno nie neviem kde to konretne mas a skusat sa mi to nechce, ukladanie hesiel mam vypnute a tak to aj naveky zostane na vsetkych mojich PC. Nie som blazon aby som si nechal ukladat hesla hockde na PC.

Zpět do poradny Odpovědět na původní otázku Nahoru