Jsou zobrazeny jen nové odpovědi. Zobrazit všechny
Zpět do poradny Odpovědět na původní otázku Nahoru
poradna.net
Neregistrovaný Přihlásit Registrovat
Len blazon si uklada hesla kdekolvek, a v akomkolvek prehliadaci, a v akomkolvek programe, staci chytit jeden spyware (napr. cez jednu z miliona dier IE
) a utocnik si rpecita vsetky ulozene hesla kdekolvek su ulozene, ak niekde su ulozene. Takze ak je niekto blby nech si kupi notisek, a nie zapamatavat si heslo na HDD v PC 
BTW. ta "chyba" firefoxu je dost malo zneuzitelna (musel by som sa dostat na stranku utocnika na tej istej domene ako mam ulozene meno/heslo, a utocnik by ziskal heslo len na tu istu domenu, nie vsetky ulozene hesla).
Zas sa robi z komara slon.
tak som sa k tomu konecne dostal. odpoved by som rozdelil do 2 celkov:
staci zmenit layout, tlacitko cez css pekne customizovat, urobit nejaky hlasovaci formular(alebo len napisat na tlacitko(customizovane cez css - "dalsia stranka") a uz mam hesla. cize zoberme si teraz priklad - seznam.cz
ok, povieme si vsak to je len freemail. aj tu je problem, pretoze este mnoho ludi(vychadzamez bodu 1) pouziva takyto mail aj ako firemnu mail adresu. aj keby ju nepouzivalo, tak na takyto mail ti mozu dojst citlive informacie od niekoho ineho(neznaleho, nie blazna) a moze sa ku nim dostat nepovolana osoba. este ku heslam. pretoze ludska pamat nie je bezhranicna, vacsina ludi to bud robi takto, alebo si pise hesla na papierik, alebo dava heslam urcitu logiku, ktora ma vacsinou spolocny zaklad. cize aj ked hesla na rozne domeny ma ine, pri takomto sposobe nie je problem urobit program, ktory spoji slovnikovy utok(nas ziskany zaklad) s bruteforce utokom.
1. si treba uvedomit, ze pocitace a software nie je vec kazdodenna a preto je irelevantne pokladat cloveka za blazna, ktory si uklada hesla do prehliadaca. mnoho a mozno sa nemylim ak poviem vacsina ludi nema k pocitacu ziaden vztah, preto sa snazia za kazdu cenu pracu si na nom pracu ulahcit a vlastne aj k tomu boli pocitace navrhnute. tu davam na vinu aj prehliadacom(pricina - dosledok), ze na cloveka pri zadani hesla vyleti dialog, ci si treba heslo zapamatat. clovek neznaly podvedome veri programu, ze mu chce pracu ulahcit a je dobre si nechat heslo zapamat, inac by ten dialog naho nevyskocil, vsakze.
2. teraz k samotnej chybe. ja som ju sice len preletel, ale pokial som to pochopil, tak hockde na multihostingu ti staci vytvorit formular s rovnakym nazvom a inputmi a firefox pretoze sa aj domenove meno zhoduje ti ho predvyplni. urobit teda skryty formular je uplne easy a staci len trochu predstavivosti a na tlacikto submit, klikne kazdy, nie len neznaly uzivatel ale aj znaly a aj ty.
pripravim si takto formular, kde bude akoze hlasovanie ci sa vam tato stranka paci(napr. od 1 do 5) a hodim link napr. na poradna.net. ver tomu, ze ludia zahlasuju a ti, ktori maju hesla zapamatane v prehliadaci, tak uz ich hesla vlastnim.
cize pre mna(nie osobne) ako osobu je tato chyba high critical.
btw., teraz ma napadlo, kedy som sa vlastne zacal zaoberat bezpecnostou. pretoze som od prirody paranoidny, tak som si uz ako 14 rocny vsimal ludi, ako sa chovaju pri trezoroch. urcite si pamatate, ze na staniciach boli uschovne na jednuchy zamok: kombinacia znaku abecedy a 3 cislic. v predu sa odomkynal a vo vnutri sa urcoval odomykaci kod. co myslis, kolko ludi si ho pri vybere batoziny zmenilo? poviem ti, ani jeden. myslis, ze sa toto neda zneuzit? nebudem davat navod, len poviem ze da.
//edit: teraz ma napadlo, ze tam ani ziadne tlacitko submit netreba a da sa to urobit javascriptom. takze bez uplnej interaktivity uzivatela ziskam jeho heslo.
Vysvetli mi ako das ten formular na seznam.cz
Vysvetli mi naco ti je taky formular, a naco ti je taka chyba, ked tam rovno mozes drbnut cookie stealer (ak tam mozes dat formular tak mozes aj script) a nebude musiet nikto ani na nic klikat. P.S. samozrejme len ak server netestuje IP pre session.
Taky to tak vidím. Ta "chyba" je jen bublina vyvolaná nějakým Microsoftem nebo tak někým.
Prostě nějakým laikem nebo někým kdo má zájem Firefox pošpinit.
Tato chyba může existovat jedině pokud :
a ) Uživatel osobně zadá do www nebezpečnou www
b ) Daná www je na stejné doméně
Nevím jak kdo, ale konkrétně já takovou situaci nezažil.
No, on ten clovek co to hlasil na bugzilla ma pravdu, on chce ze by mal vyskocit aspon nejaky warning, prip. nech sa to vo FF nejak vylepsi, ale proste nesuhlasim s titulkom clanku "Chyba ve Firefoxu 2.0 dovoluje získat uložená hesla", ptz. to nie je pravda (ked tak v jednotnom cisle (jedno heslo), a len z tej istej domeny kde je utocnik), nejaky MS-pozitiv pisalek z toho robi bublinu zavadzajucim clankom.
Ja som tiez vzivote taku situaciu nezazil, ale da sa to samozrejme zneuzit, napr u tych freemailov, mali by to opravit.
vsak formular na seznam.cz je dat uplne easy. staci sa zaregistrovat na seznam.cz a vytvortit si tam stranku napr. seznam.cz/moja_firma ako na kazdom inom multihostingu(myslim, ze seznam ma freehosting) a tam si ten formular vlozit. cookie stealer ti je v tomto pripade nahovno, pretoze cookie sa posielaju v ramci stranky(napr. seznam.cz/moja_firma), nie v ramci celej domeny(seznam.cz), to by uz bola ina haluz. a v tomto pripade cookie ani byt vytvorena nemusi a za druhe, z cookie ani heslo nezistis. vsak nie je nic jednoduchsie, ako si to vyskusat.
Seznam ma hosting? Kde?
aj keby nemal, to vobec nie je podstatne, islo len o priklad. napr. szm.sk ma freehosting aj s freemailom a takych free hostingov je vela. my dvaja mame ale iny problem. divame sa na vec z roznych stran. ty hladas moznosti, ako sa chyba neda zneuzit a ja zas opacne. keby si sa nato pozrel z mojej strany, do 5min. by si nasiel rozne moznosti.
Nie, ja som sa len ako pouzivatel FF zamyslel, ze ktore heslo by mi mohol niekto cez tuto chybu ukradnut (ak by som mal povolene ukladanie hesiel), na strankach na ktore chodim, a vyslo mi ze ziadne (okrem freemailu ak by som otvaral html maily :)
Ešte by som chcel dodať, že táto chyba má za následok aj ďalší problém, ktorý si to berie so sebou. Mám paušál od T-Mobile a po potvrdení mena a hesla na stránke sa prihlásim. Meno a heslo samozrejme zapamätané, ako inak. Potom sa prekliknem na stav Voľných minút a SMS a tu nastáva problém. Sem treba zadať ID kód. Po zadaní a potvrdení sa FF opýta, či si ho má zapamätať. Raz som klikol, že áno a mal som o problém postarané. Odvtedy FF nevedel, že čo má predvyplniť na hlavnej stránke, pretože v zozname hesiel prislúchajúcich k tejto stránke mal dve heslá. On nevedel, ktoré tam dať. Ja som teda ostal v tom, že prehliadače si pamätajú len doménu a nie celú adresu a bral som to ako vlastnosť. Keby som vtedy vedel, že sa jedná o chybu (nakoľko IE som na zapamätávanie hesiel nepoužíval a Operu som ešte nevyužíval) tak spomínaný článok sa tu omieľa omnoho skôr. Už dávno by som to bol nahlásil. Je zaujímavé, že čo sa človek postupom času dozvie.
To je IMHO skor "chyba" formularov na tej stranke.
To by som nepovedal. ID kód bol v zozname uložený pod rovnakou doménou a nevedel sa rozhodnúť, čo tam dať. Odvtedy ID kód musím vypisovať ručne, hoci najradšej by som ho nechal predvyplniť, ale nemôžem.
Nie som si isty ako si to uklada FF, podla mna zavisi aj na nazve polozky vo formulari, asi ho dali rovnaky na prihlasenie a aj na ID. Mozno nie neviem kde to konretne mas a skusat sa mi to nechce, ukladanie hesiel mam vypnute a tak to aj naveky zostane na vsetkych mojich PC. Nie som blazon aby som si nechal ukladat hesla hockde na PC.