Jsou zobrazeny jen nové odpovědi. Zobrazit všechny
| Předmět | Autor | Datum |
|---|---|---|
| Len blazon si uklada hesla kdekolvek, a v akomkolvek prehliadaci, a v akomkolvek programe, staci chy… MM.. 23.11.2006 15:27 |
MM.. | |
| tak som sa k tomu konecne dostal. odpoved by som rozdelil do 2 celkov:
1. si treba uvedomit, ze poci… IgorK 25.11.2006 18:46 |
IgorK | |
| Vysvetli mi ako das ten formular na seznam.cz
Vysvetli mi naco ti je taky formular, a naco ti je tak… MM.. 27.11.2006 09:31 |
MM.. | |
| vsak formular na seznam.cz je dat uplne easy. staci sa zaregistrovat na seznam.cz a vytvortit si tam… IgorK 27.11.2006 10:49 |
IgorK | |
| Seznam ma hosting? Kde? MM.. 27.11.2006 12:56 |
MM.. | |
| aj keby nemal, to vobec nie je podstatne, islo len o priklad. napr. szm.sk ma freehosting aj s freem… IgorK 27.11.2006 13:08 |
IgorK | |
| Nie, ja som sa len ako pouzivatel FF zamyslel, ze ktore heslo by mi mohol niekto cez tuto chybu ukra… poslední MM.. 27.11.2006 16:14 |
MM.. |
Zpět do poradny Odpovědět na původní otázku Nahoru
Len blazon si uklada hesla kdekolvek, a v akomkolvek prehliadaci, a v akomkolvek programe, staci chytit jeden spyware (napr. cez jednu z miliona dier IE
) a utocnik si rpecita vsetky ulozene hesla kdekolvek su ulozene, ak niekde su ulozene. Takze ak je niekto blby nech si kupi notisek, a nie zapamatavat si heslo na HDD v PC 
BTW. ta "chyba" firefoxu je dost malo zneuzitelna (musel by som sa dostat na stranku utocnika na tej istej domene ako mam ulozene meno/heslo, a utocnik by ziskal heslo len na tu istu domenu, nie vsetky ulozene hesla).
Zas sa robi z komara slon.
tak som sa k tomu konecne dostal. odpoved by som rozdelil do 2 celkov:
staci zmenit layout, tlacitko cez css pekne customizovat, urobit nejaky hlasovaci formular(alebo len napisat na tlacitko(customizovane cez css - "dalsia stranka") a uz mam hesla. cize zoberme si teraz priklad - seznam.cz
ok, povieme si vsak to je len freemail. aj tu je problem, pretoze este mnoho ludi(vychadzamez bodu 1) pouziva takyto mail aj ako firemnu mail adresu. aj keby ju nepouzivalo, tak na takyto mail ti mozu dojst citlive informacie od niekoho ineho(neznaleho, nie blazna) a moze sa ku nim dostat nepovolana osoba. este ku heslam. pretoze ludska pamat nie je bezhranicna, vacsina ludi to bud robi takto, alebo si pise hesla na papierik, alebo dava heslam urcitu logiku, ktora ma vacsinou spolocny zaklad. cize aj ked hesla na rozne domeny ma ine, pri takomto sposobe nie je problem urobit program, ktory spoji slovnikovy utok(nas ziskany zaklad) s bruteforce utokom.
1. si treba uvedomit, ze pocitace a software nie je vec kazdodenna a preto je irelevantne pokladat cloveka za blazna, ktory si uklada hesla do prehliadaca. mnoho a mozno sa nemylim ak poviem vacsina ludi nema k pocitacu ziaden vztah, preto sa snazia za kazdu cenu pracu si na nom pracu ulahcit a vlastne aj k tomu boli pocitace navrhnute. tu davam na vinu aj prehliadacom(pricina - dosledok), ze na cloveka pri zadani hesla vyleti dialog, ci si treba heslo zapamatat. clovek neznaly podvedome veri programu, ze mu chce pracu ulahcit a je dobre si nechat heslo zapamat, inac by ten dialog naho nevyskocil, vsakze.
2. teraz k samotnej chybe. ja som ju sice len preletel, ale pokial som to pochopil, tak hockde na multihostingu ti staci vytvorit formular s rovnakym nazvom a inputmi a firefox pretoze sa aj domenove meno zhoduje ti ho predvyplni. urobit teda skryty formular je uplne easy a staci len trochu predstavivosti a na tlacikto submit, klikne kazdy, nie len neznaly uzivatel ale aj znaly a aj ty.
pripravim si takto formular, kde bude akoze hlasovanie ci sa vam tato stranka paci(napr. od 1 do 5) a hodim link napr. na poradna.net. ver tomu, ze ludia zahlasuju a ti, ktori maju hesla zapamatane v prehliadaci, tak uz ich hesla vlastnim.
cize pre mna(nie osobne) ako osobu je tato chyba high critical.
btw., teraz ma napadlo, kedy som sa vlastne zacal zaoberat bezpecnostou. pretoze som od prirody paranoidny, tak som si uz ako 14 rocny vsimal ludi, ako sa chovaju pri trezoroch. urcite si pamatate, ze na staniciach boli uschovne na jednuchy zamok: kombinacia znaku abecedy a 3 cislic. v predu sa odomkynal a vo vnutri sa urcoval odomykaci kod. co myslis, kolko ludi si ho pri vybere batoziny zmenilo? poviem ti, ani jeden. myslis, ze sa toto neda zneuzit? nebudem davat navod, len poviem ze da.
//edit: teraz ma napadlo, ze tam ani ziadne tlacitko submit netreba a da sa to urobit javascriptom. takze bez uplnej interaktivity uzivatela ziskam jeho heslo.
Vysvetli mi ako das ten formular na seznam.cz
Vysvetli mi naco ti je taky formular, a naco ti je taka chyba, ked tam rovno mozes drbnut cookie stealer (ak tam mozes dat formular tak mozes aj script) a nebude musiet nikto ani na nic klikat. P.S. samozrejme len ak server netestuje IP pre session.
vsak formular na seznam.cz je dat uplne easy. staci sa zaregistrovat na seznam.cz a vytvortit si tam stranku napr. seznam.cz/moja_firma ako na kazdom inom multihostingu(myslim, ze seznam ma freehosting) a tam si ten formular vlozit. cookie stealer ti je v tomto pripade nahovno, pretoze cookie sa posielaju v ramci stranky(napr. seznam.cz/moja_firma), nie v ramci celej domeny(seznam.cz), to by uz bola ina haluz. a v tomto pripade cookie ani byt vytvorena nemusi a za druhe, z cookie ani heslo nezistis. vsak nie je nic jednoduchsie, ako si to vyskusat.
Seznam ma hosting? Kde?
aj keby nemal, to vobec nie je podstatne, islo len o priklad. napr. szm.sk ma freehosting aj s freemailom a takych free hostingov je vela. my dvaja mame ale iny problem. divame sa na vec z roznych stran. ty hladas moznosti, ako sa chyba neda zneuzit a ja zas opacne. keby si sa nato pozrel z mojej strany, do 5min. by si nasiel rozne moznosti.
Nie, ja som sa len ako pouzivatel FF zamyslel, ze ktore heslo by mi mohol niekto cez tuto chybu ukradnut (ak by som mal povolene ukladanie hesiel), na strankach na ktore chodim, a vyslo mi ze ziadne (okrem freemailu ak by som otvaral html maily :)