Zpět do poradny Odpovědět na původní otázku Nahoru
poradna.net
Neregistrovaný Přihlásit Registrovat
poradna.net
Chyba ve Firefoxu 2.0 dovoluje získat uložená hesla Zpět do poradny Odpovědět na původní otázku Nahoru
No pekne. Dobre, ze si hesla neukladam
Pre verziu 1.5.0.8 to neplati?
Platí i pro starší verze...
plati pravidlo, ze prehliadac je tak bezpecny ako je malo pouzivany. pri sotware bezpecnosti vzdy plati nepriama umera.
ted si napsal peknou kravinu
skus sa nad tym zamysliet, preco som to povedal. nebavime sa o aplikacii typu hello world.
Nenapsal. Já mám například FF superbezpečný, jelikož v něm žádná uložená hesla nemám a používám jej víceméně pouze na testování stránek, jinak Operuji.
Dik, konečně jsem pochopil, proč se o FF řiká, že je bezpečný.
Len blazon si uklada hesla kdekolvek, a v akomkolvek prehliadaci, a v akomkolvek programe, staci chytit jeden spyware (napr. cez jednu z miliona dier IE
) a utocnik si rpecita vsetky ulozene hesla kdekolvek su ulozene, ak niekde su ulozene. Takze ak je niekto blby nech si kupi notisek, a nie zapamatavat si heslo na HDD v PC 
BTW. ta "chyba" firefoxu je dost malo zneuzitelna (musel by som sa dostat na stranku utocnika na tej istej domene ako mam ulozene meno/heslo, a utocnik by ziskal heslo len na tu istu domenu, nie vsetky ulozene hesla).
Zas sa robi z komara slon.
nie kazdy sa chova tak ako ty.
btw., teraz musim odist, ale vecer ti napisem mozne zneuzitia. chyba sice nie je total kriticka, ale kriticka je dost. uz teraz ma napada dost scenarov, ako to zneuzit. ![]:)](https://static.poradna.net/images/smiley/evilsmile.gif)
Tak iste, ved aj kluce od domu mozu nechavat pod rohozkou, ale potom nech sa necuduju ked najdu dom "vybieleny"
). Ale nemozes tym napadnut napr. inet-banking apod. (nemozes si dat vlastnu stranku na domenu banky), to by bola podla mna "kriticka chyba" (aj ked ja sam heslo nikde neukladam, len uvazujem kritickost chyby).
Sposoby zneuzitia su IMHO len phishing na multiuser weby a freemaily, a musel by si aspon raz kliknut na nejaky button (to uz by mal clovek spozorniet ak je v maile nejaky button ze "odoslat"
Inac zaujimave by bolo otestovat ci sa na taky formular nenachyta aj IE a Opera
Takze mi ukradnu heslo na tuto poradnu. Bankove v browseri ulozene nemam a ani mi to Firefox neponukol.
V Opere sa musi este kliknut na wand, takze by mala byt bezpecna.
zajtra vysvetlim, ake su mozne kombinacie a aj trochu pravdepodobnosti. dnes uz sa mi nechce, nie je to na 3 vety a som uplne grogy. vysvetlim aj chybu ludi, ktori pouzivaju trezory na staniciach, ak to este ovsem funguje. myslim trezory.
Neukradnu pretoze by museli vlozit nejaky vlastny (phishing) formular na domenu poradna.net, a to sa im jaksi nepodari (sem do diskusie sa formular vlozit neda).
P.S. ak by sa sem dalo vkladat do prispevkov cokolvek, tak ti ukradnem konto na poradni cookie stealerom, nepotrebujem k tomu ziadnu "dieru" v prehliadaci.
multiuser weby som mal na mysli weby kde na jednej domene je vela uzivatelskych stranok a ak na ten web sa prihlasuje nejakym prihlasovacim formularom (tomu vyhovuju len niektore specialne pripady, napr. ako pisal ten co to zistil v tej linke z clanku na bugzillu, www.myspace.com, z beznych ma najznamejsi priklad napada freemail), a potom by si ale musel ty nejako (aktivne) sa dostat na stranku podvodnika, ktora by bola ale na tej istej domene (t.j. u freemailu jedina moznost je ze by si mal ten podvodny formular v prichodzom emaili), a tam by si musel este na nieco kliknut, tak to uz fakt je vsetko mozne ale nie bezpecna praca s PC.
tak som sa k tomu konecne dostal. odpoved by som rozdelil do 2 celkov:
staci zmenit layout, tlacitko cez css pekne customizovat, urobit nejaky hlasovaci formular(alebo len napisat na tlacitko(customizovane cez css - "dalsia stranka") a uz mam hesla. cize zoberme si teraz priklad - seznam.cz
ok, povieme si vsak to je len freemail. aj tu je problem, pretoze este mnoho ludi(vychadzamez bodu 1) pouziva takyto mail aj ako firemnu mail adresu. aj keby ju nepouzivalo, tak na takyto mail ti mozu dojst citlive informacie od niekoho ineho(neznaleho, nie blazna) a moze sa ku nim dostat nepovolana osoba. este ku heslam. pretoze ludska pamat nie je bezhranicna, vacsina ludi to bud robi takto, alebo si pise hesla na papierik, alebo dava heslam urcitu logiku, ktora ma vacsinou spolocny zaklad. cize aj ked hesla na rozne domeny ma ine, pri takomto sposobe nie je problem urobit program, ktory spoji slovnikovy utok(nas ziskany zaklad) s bruteforce utokom.
1. si treba uvedomit, ze pocitace a software nie je vec kazdodenna a preto je irelevantne pokladat cloveka za blazna, ktory si uklada hesla do prehliadaca. mnoho a mozno sa nemylim ak poviem vacsina ludi nema k pocitacu ziaden vztah, preto sa snazia za kazdu cenu pracu si na nom pracu ulahcit a vlastne aj k tomu boli pocitace navrhnute. tu davam na vinu aj prehliadacom(pricina - dosledok), ze na cloveka pri zadani hesla vyleti dialog, ci si treba heslo zapamatat. clovek neznaly podvedome veri programu, ze mu chce pracu ulahcit a je dobre si nechat heslo zapamat, inac by ten dialog naho nevyskocil, vsakze.
2. teraz k samotnej chybe. ja som ju sice len preletel, ale pokial som to pochopil, tak hockde na multihostingu ti staci vytvorit formular s rovnakym nazvom a inputmi a firefox pretoze sa aj domenove meno zhoduje ti ho predvyplni. urobit teda skryty formular je uplne easy a staci len trochu predstavivosti a na tlacikto submit, klikne kazdy, nie len neznaly uzivatel ale aj znaly a aj ty.
pripravim si takto formular, kde bude akoze hlasovanie ci sa vam tato stranka paci(napr. od 1 do 5) a hodim link napr. na poradna.net. ver tomu, ze ludia zahlasuju a ti, ktori maju hesla zapamatane v prehliadaci, tak uz ich hesla vlastnim.
cize pre mna(nie osobne) ako osobu je tato chyba high critical.
btw., teraz ma napadlo, kedy som sa vlastne zacal zaoberat bezpecnostou. pretoze som od prirody paranoidny, tak som si uz ako 14 rocny vsimal ludi, ako sa chovaju pri trezoroch. urcite si pamatate, ze na staniciach boli uschovne na jednuchy zamok: kombinacia znaku abecedy a 3 cislic. v predu sa odomkynal a vo vnutri sa urcoval odomykaci kod. co myslis, kolko ludi si ho pri vybere batoziny zmenilo? poviem ti, ani jeden. myslis, ze sa toto neda zneuzit? nebudem davat navod, len poviem ze da.
//edit: teraz ma napadlo, ze tam ani ziadne tlacitko submit netreba a da sa to urobit javascriptom. takze bez uplnej interaktivity uzivatela ziskam jeho heslo.
OK. Nečetl jsem ti to celé. Máš to přeci jen trochu delší, ale nelíbí se mi vaše logika spolu s Živě.
Píšete něco o neviditelném formuláři a nějakém prvku, který ten formulář odešle.
S prominutím hloupost ! Pomocí JS lze odeslat automaticky jakýkoliv formulář a to třeba Ajaxem na pozadí.
Takže pokud se takto skutečně FF chová pak stačí pokud na společném hostingu naťuká user do adresového řádku
nebezpečnou adresu. Zbytek provede JavaScript a to bez jakéhokoliv uživatelova vědomí nebo dalšího přičinění !
// Aha. Tak jsem to dočetl a už sis to uvědomil.
Vysvetli mi ako das ten formular na seznam.cz
Vysvetli mi naco ti je taky formular, a naco ti je taka chyba, ked tam rovno mozes drbnut cookie stealer (ak tam mozes dat formular tak mozes aj script) a nebude musiet nikto ani na nic klikat. P.S. samozrejme len ak server netestuje IP pre session.
Taky to tak vidím. Ta "chyba" je jen bublina vyvolaná nějakým Microsoftem nebo tak někým.
Prostě nějakým laikem nebo někým kdo má zájem Firefox pošpinit.
Tato chyba může existovat jedině pokud :
a ) Uživatel osobně zadá do www nebezpečnou www
b ) Daná www je na stejné doméně
Nevím jak kdo, ale konkrétně já takovou situaci nezažil.
No, on ten clovek co to hlasil na bugzilla ma pravdu, on chce ze by mal vyskocit aspon nejaky warning, prip. nech sa to vo FF nejak vylepsi, ale proste nesuhlasim s titulkom clanku "Chyba ve Firefoxu 2.0 dovoluje získat uložená hesla", ptz. to nie je pravda (ked tak v jednotnom cisle (jedno heslo), a len z tej istej domeny kde je utocnik), nejaky MS-pozitiv pisalek z toho robi bublinu zavadzajucim clankom.
Ja som tiez vzivote taku situaciu nezazil, ale da sa to samozrejme zneuzit, napr u tych freemailov, mali by to opravit.
vsak formular na seznam.cz je dat uplne easy. staci sa zaregistrovat na seznam.cz a vytvortit si tam stranku napr. seznam.cz/moja_firma ako na kazdom inom multihostingu(myslim, ze seznam ma freehosting) a tam si ten formular vlozit. cookie stealer ti je v tomto pripade nahovno, pretoze cookie sa posielaju v ramci stranky(napr. seznam.cz/moja_firma), nie v ramci celej domeny(seznam.cz), to by uz bola ina haluz. a v tomto pripade cookie ani byt vytvorena nemusi a za druhe, z cookie ani heslo nezistis. vsak nie je nic jednoduchsie, ako si to vyskusat.
Seznam ma hosting? Kde?
aj keby nemal, to vobec nie je podstatne, islo len o priklad. napr. szm.sk ma freehosting aj s freemailom a takych free hostingov je vela. my dvaja mame ale iny problem. divame sa na vec z roznych stran. ty hladas moznosti, ako sa chyba neda zneuzit a ja zas opacne. keby si sa nato pozrel z mojej strany, do 5min. by si nasiel rozne moznosti.
Nie, ja som sa len ako pouzivatel FF zamyslel, ze ktore heslo by mi mohol niekto cez tuto chybu ukradnut (ak by som mal povolene ukladanie hesiel), na strankach na ktore chodim, a vyslo mi ze ziadne (okrem freemailu ak by som otvaral html maily :)
A čo je podstatné, netreba náhodou aj odoslať? Čiže potvrdiť, že odosielam meno a heslo? Myslím tým tlačítko "Prihlásiť".
Edit: Takže aj ja som sa tam dočítal odpovede.
Nemusí tedy být v doméně. Celá tato akce klidně může proběhnout tak rafinovaně,že po přijmutí přihlašovacích údajů
může server přesměrovat uživatele na pravou stránku.
Ešte by som chcel dodať, že táto chyba má za následok aj ďalší problém, ktorý si to berie so sebou. Mám paušál od T-Mobile a po potvrdení mena a hesla na stránke sa prihlásim. Meno a heslo samozrejme zapamätané, ako inak. Potom sa prekliknem na stav Voľných minút a SMS a tu nastáva problém. Sem treba zadať ID kód. Po zadaní a potvrdení sa FF opýta, či si ho má zapamätať. Raz som klikol, že áno a mal som o problém postarané. Odvtedy FF nevedel, že čo má predvyplniť na hlavnej stránke, pretože v zozname hesiel prislúchajúcich k tejto stránke mal dve heslá. On nevedel, ktoré tam dať. Ja som teda ostal v tom, že prehliadače si pamätajú len doménu a nie celú adresu a bral som to ako vlastnosť. Keby som vtedy vedel, že sa jedná o chybu (nakoľko IE som na zapamätávanie hesiel nepoužíval a Operu som ešte nevyužíval) tak spomínaný článok sa tu omieľa omnoho skôr. Už dávno by som to bol nahlásil. Je zaujímavé, že čo sa človek postupom času dozvie.
To je IMHO skor "chyba" formularov na tej stranke.
To by som nepovedal. ID kód bol v zozname uložený pod rovnakou doménou a nevedel sa rozhodnúť, čo tam dať. Odvtedy ID kód musím vypisovať ručne, hoci najradšej by som ho nechal predvyplniť, ale nemôžem.
Nie som si isty ako si to uklada FF, podla mna zavisi aj na nazve polozky vo formulari, asi ho dali rovnaky na prihlasenie a aj na ID. Mozno nie neviem kde to konretne mas a skusat sa mi to nechce, ukladanie hesiel mam vypnute a tak to aj naveky zostane na vsetkych mojich PC. Nie som blazon aby som si nechal ukladat hesla hockde na PC.