Gå til innhold

Alvorlig nettsidehull oppdaget

abene

Av abene
i Diskuter dataartikler (Tek.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
Bolson

Bolson

Skrevet
Skrevet
takk og pris for noscript ;)

 

Så lenge du ikke velger å kjøre script på "godkjente sider". Velger du å bruke unntak i noscript er du utsatt.

 

Noscript tar heller ikke alt som disse to guttene har funnet, du må nok blokke Flash 100 % og en del annet i tillegg. Så da kan man nesten stille spørsmålet om det er vits i å surfe i det hele tatt.

 

Tror nok problemet er alvorlig nok teknisk sett, men det mest sentrale er sannsynligheten for at en nettside er infisert.

Lenke til kommentar
hobgoblin

hobgoblin

Skrevet
Skrevet (endret)

vel, noscript blokkerer også flash og andre plugins pr default.

 

og jeg prøver å kun aktivisere javascript på sider der det trengs, og bare midlertidig med mindre jeg er innom der hele tiden (slik som her på forumet).

 

og siden mye reklame er hentet via javascript, så blir de fleste sider ganske reklamefrie også ;)

Endret av hobgoblin
Lenke til kommentar
Bolson

Bolson

Skrevet
Skrevet

Jeremiah Grossman og Robert Hansen sier selv at løsninger som Noscript bare delvis sikrer mot feila som er funnet. Og det er det som er mitt poeng, Noscript reduserer sannsynligheten for å bli berørt betydelig, men den tar den ikke bort i det hele tatt.

 

Utenom det vet vi for lite til å kunne gi andre anbefalinger enn de generelle knyttet til oppdaterte visrusprogrammer og generell forsiktighet. Det beste er nok å surfe på nettet via en virtuell Linuxinstallasjon.

Lenke til kommentar
andre1

andre1

Skrevet
Skrevet (endret)

Ha.. tror jeg har en anelse hva det er, både i css(+html), javascript, iframe og antagelig ved hjelp av flash kan man legge en usynlig link over en troverdig link. Så når du tror du trykker på noe går du ett helt annet sted, fesk en side med annonser eller kode som prøver å utnytte hull i nettleseren din. Men siden de kaller det Clickjacking går jeg ut ifra at koden kaprer klikket i det du trykker, så url ser riktig ut om du skulle finne på å se ned i statusbaren i nettleseren før du klikker..

 

 

Jeg håper det ikke er dette, for da er det jo latterlig at de gjør noen stor greie ut av det, og det er jo websidene som må sikre mot dette (ved å ikke tillate brukere å poste tingene over).

Endret av andre1
Lenke til kommentar
Bolson

Bolson

Skrevet
Skrevet (endret)

Uten at jeg kan nok til å verifisere dine antagelser, gir det jeg har lest hittil indikasjoner om at du er inne på rett spor. Tydelig også at det er knyttet til kombinasjonen DOM, Javascript, HTML, CSS og også elementer i Flash.

 

Det at Microsoft, Adobe og Mozilla tar disse to sine oppdagelser så alvorlig som de gjør, og at de faktisk frivillig har valgt å avlyse sitt foredrag om problemet foreløpig tyder på at problemet har et ikke ubetydelig omfang. Ut fra det jeg klarer å finne ut ellers er det sett som eneste mulige praktiske løsning å hindre "feilen" i nettleseren. Rette feilen på nettsider vurderes å være umulig å få til fullstendig, og har visst også noen problemsapekt.

 

Men det blir interessant når de kommer ut med sine oppdagelser, å se akkurat hva problemet var.

Endret av Bolson
Lenke til kommentar
andre1

andre1

Skrevet
Skrevet
Rette feilen på nettsider vurderes å være umulig å få til fullstendig, og har visst også noen problemsapekt.

 

Men det blir interessant når de kommer ut med sine oppdagelser, å se akkurat hva problemet var.

Om jeg har noen lunde rett så er det ikke ett problem for de fleste websider med respekt for seg selv, samt de fleste større cms løsninger, inkl den jeg jobber 'for'.

Nettsider som nettby derimot, som kun bruker javascript for å prøve å hindre deg fra å publisere css/javascript/flash, er rimelig usikker mot ting som dette.

Tror vel egentlig ikke jeg har rett, en fiks ville ha påvirket alt for mange trygge websider negativt.

Så blir morsomt å se hva dette gjelder..

Lenke til kommentar
Bolson

Bolson

Skrevet
Skrevet
Rette feilen på nettsider vurderes å være umulig å få til fullstendig, og har visst også noen problemsapekt.

 

Men det blir interessant når de kommer ut med sine oppdagelser, å se akkurat hva problemet var.

Om jeg har noen lunde rett så er det ikke ett problem for de fleste websider med respekt for seg selv, samt de fleste større cms løsninger, inkl den jeg jobber 'for'.

Nettsider som nettby derimot, som kun bruker javascript for å prøve å hindre deg fra å publisere css/javascript/flash, er rimelig usikker mot ting som dette.

Vi bør vel ikke være altfor sikre, det er "mye" funksjonalitet basert på disse teknologiene også på "trygge" nettsteder og nettsteder basert på større CMS løsninger. Har også friskt i minne at seriøse norske nettsteder spredde "uhumskheter" tidligere i år.

 

Men sannsynligheten for "hull" er langt mindre på systemer/nettsteder der rette metoder knyttet til sikkerhet brukes.

 

Men et problem er at selv det som nettbrukeren oppfatter som seriøse nettsteder faktisk i altfor stor grad bruker "dårlige" løsninger. Det er altfor mange nettsteder, f.eks. i Norge som bygger på små leverandørutviklede CMS, hvor det er svært tvilsomt om utviklere sitter på nødvendig kompetanse knyttet til sikkerhet.

 

Tror vel egentlig ikke jeg har rett, en fiks ville ha påvirket alt for mange trygge websider negativt.

Så blir morsomt å se hva dette gjelder..

 

I alle fall svært interessant.

Lenke til kommentar
lahebo

lahebo

Skrevet
Skrevet
Ha.. tror jeg har en anelse hva det er, både i css(+html), javascript, iframe og antagelig ved hjelp av flash kan man legge en usynlig link over en troverdig link. Så når du tror du trykker på noe går du ett helt annet sted, fesk en side med annonser eller kode som prøver å utnytte hull i nettleseren din. Men siden de kaller det Clickjacking går jeg ut ifra at koden kaprer klikket i det du trykker, så url ser riktig ut om du skulle finne på å se ned i statusbaren i nettleseren før du klikker..

 

 

Jeg håper det ikke er dette, for da er det jo latterlig at de gjør noen stor greie ut av det, og det er jo websidene som må sikre mot dette (ved å ikke tillate brukere å poste tingene over).

Akkurat samme tenkte jeg. Og da er det klart at "NoScript" hjelper. Du må bare være så smart at du skjønner at du skal sette på blokkering av scripts som default.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...