H Security - "Óvatosan a Skype-pal. A Microsoft elolvas mindent, amit írsz."

Titkosítás, biztonság, privát szféra

A H Security azt állítja, hogy a Microsoft beleolvas a Skype-on keresztül küldött üzenetekbe. A weboldalt az egyik olvasó értesítette, aki azt állította, hogy szokatlan hálózati forgalmat észlelt azután, hogy egy Skype IM csevegést folytatott. Röviddel azután, hogy HTTPS URL-t küldött át az IM szolgáltatáson keresztül, az URL-t meglátogatták egy IP címről a Microsoft redmondi főhadiszállásáról. A H Security nekiállt tesztelni. Átküldött két HTTPS URL-t. Az egyik egy login információt tartalmazott, a másik pedig egy privát cloud-alapú fájlmegosztó szolgáltatásra mutatott. Az eredmény? Néhány órával később mindkét HTTPS URL-t meglátogatták egy IP-ről, amelyet a redmondi Microsoft-hoz regisztráltak.

A H Security szerint a Microsoft mind a login információkat, mind a privát cloud-alapú fájlmegosztó szolgáltatáshoz létrehozott spec. URL-t felhasználta.

A H Security kérdőre vonta a Skype-ot... A részletek itt olvashatók.

( toth_a v | 2013. 05. 14., k – 21:15 )

Csak nekem rémlik az, hogy nem lehet leiratkozni uninstall, a regisztrációt törölni a Skype esetében?

Redmond felett nem halad(na) át egy laza hurrikán? :-)

Én értem amit írsz, csak ez nekem valahogy nem tűnik "normálisnak".
Egy nyomorult hírlevélről leiratkozni, vagy egyéb szolgáltatástól azért egyszerűbben és gyorsabban lehet "megválni".
Persze tudom: legjobb eleve nem is regisztrálni az ilyen és ehhez hasonló oldalakra stb.
Ez is egy megoldás, de valahogy nem sportszerű.

( dikki | 2013. 05. 14., k – 21:17 )

Átcsábították a gmail mant Redmondba.

Tenyleg csak erdeklodes keppen mert kivancsiva tettel.
Ha te ott dolgonal mint fejleszto, es szolnanak hogy akkor most az URL-eket amiket kuldenek meg kellene nezni keresesi vagy nemzet biztonsagi vagy mittomen (igazabol tok mind1) okok miatt, akkor te azt mondanad hogy bocs de nekem ellenkezik az elveimmel hogy akar csak kozelebe is keruljek olyan adatnak amit a gyanutlan felhasznalo kuld el egy masiknak, es felmondanal?
Persze nyilvan van szinte mindenkiben egy hatar amit meghuz az ember, kerdes hogy hol van az, es ez igy nekem nagyon szigorunak tunik.

------------------
http://www.youtube.com/watch?v=xnJwT_30p6k

Nem tudom hogy milyen elvarasokat tamasztanak ott, de ez lenyegtelen szerintem. En inkabb affelol kozelitenem meg a kerdest hogy ilyen alacsonyan meghuzott hatarral imho kb 2-3 havonta cserelheted a munkahelyeidet, es talan csak ott lehet nyugtod ahol a munkad nincs kozvetlenul kihatassal a felhasznalora.
Ugy ertem pl elmesz dolgozni a Mozillahoz, azt sozlnak hogy figy mar kene gyujteni hogy milyen oldalakat nyitott meg a user, felmondasz atmesz mondjuk googlehez yourubet fejleszteni es szolnak hogy figyelje mar gyujteni kene hogy a user milyen videokat nezett meg, ujra munkavaltas. Aztan atmesz mondjk fejleszteni ubuntut es szolnak hogy figy mar gyujteni kene milyen alkalmazasokat telepitett fel a user mert akkor valami mittomen milyen online feluleten is tok jo ajanlasoakt tudnank neki adni es mar keresed is a kovetkezo allasodat.
Nem mondom hogy ez van az adott cegeknel, csak felhoztam oket mint pelda, szerintem nagyon is eletszagu pelda. Az adatgyujtes onmagaban imho egyaltalan nem gaz amig jora hasznalod. Na most a problema ott kezdodik hogy odajon hozzam egy manager es megker hogy logoljam a user cuccat mert akkor egyre pontosabban tudunk neki tartalmat ajanlani. Fasza megcsinalom, aztan persze lehet fel ev mulva fogja a sunyi manager es eladja az adatokat valami kulso cegnek hogy agyonspammeljenek celzott reklamokkal. Ettol rosz lesz amit tettel? Az a megoldas hogy alapbol elutasitod a fejlesztest hiszen rosszra is lehet hasznalni? Vagy szimplan csak megcsinalod es ha kiderul hogy hasznaltak szarra is akkor meg mindig lelephetsz.
Ebben az esetben igazabol nem tudjuk mire hasznalja az adatot a Gonosz MS, lehet siman csak valami bing funkciohoz tok altalanosan, de lehet adatot gyujt es havonta kuldi a digest levelet az FBI-nak meg mittomenminek.

------------------
http://www.youtube.com/watch?v=xnJwT_30p6k

( FBK | 2013. 05. 14., k – 21:30 )

erre nem tudok mit mondani, az egykor "bazi" biztonsagosnak beallitott Skype -ot megvette az MS es itt tartunk, mar amennyiben ez igaz.

De sajnos siman igaz lehet...azt hiszem a mai vilagban az a biztonsagos ha az adatainkat egy internet kozelebe se kerulo gepen kiirjuk CDre majd a CD-t osszetorjuk es a darabjait lenyeljuk :-)

--
FBK

Régen erre külön házmesterek voltak. Mára már rég megoldódott probléma: egy ismerősöd gépeli be és tölti fel helyetted (egyébként a MS FB részvényes). Ha minden kötél szakad, küld egy Dear Friend levelet gmail-ről, amire bunkóság lenne nem válaszolni, mert az a tutkó. network analysis a buzzvörd

Nem tudom, ki tartotta a Skype-ot bazi biztonságosnak, én 2007-ben dolgoztam először olyan helyen, ahol skype-ot tilos volt használni, mert a Skype-ban nem bíztak. Telepíteni se lehetett windowsra, policy-ből tiltva volt.
Most is ilyen helyen dolgozom egyébként, ahol az ügyfélnél nem szabad Skype-ot használni.

Nem kérdeztem rá, hogy miért pont a Skype-ot tiltották, míg mondjuk MSN-t nem, de akkoriban egy cikkben azt olvastam, hogy a Skype-pal az a gondja sok cégnek, hogy ismeretlen tartalmú binárist kell telepíteni, ami aztán zárt protokolon akármit is forgalmazhat.

G

Ehhez képest nyilván azóta csekkolja az url-eket, mióta az MS megvette.

"ismeretlen tartalmú binárist kell telepíteni, ami aztán zárt protokolon akármit is forgalmazhat"
Akkor gondolom a Windows is tiltva volt policy-ből ugye?

"...handing C++ to the average programmer seems roughly comparable to handing a loaded .45 to a chimpanzee." -- Ted Ts'o

( Lacyc3 v | 2013. 05. 14., k – 22:19 )

Az URL-ek lehetséges felhasználása pl. a Bing etetése.
Mintha lett volna szál arról, hogy ha Chrome-mal megnézel egy Google által eddig ismeretlen URL-t akkor oda előbb - utóbb ellátogat az indexelő robot.

Nem mintha bármelyik is etikus lenne..

( Hunger | 2013. 05. 14., k – 22:35 )

nem tudom reprodukálni... lehet skype kliens verziótól is függ, vagy már kikapcsolták az url checkert

( lajos22 | 2013. 05. 14., k – 22:42 )

Ilyen hírek hallatán mindig elégedetten hátradőlök, hogy én ezt előre tudtam...

--
openSUSE 12.2 x86_64

( tomsolo | 2013. 05. 14., k – 23:13 )

Azért végig gondolva elég amatőr módja ez a figyelgetésnek...
No rainbow, no sugar

( zsolt | 2013. 05. 15., sze – 00:31 )

Nem csak a Microsoft csinálja ezt.
Nekem a google több weboldalt is leindexelt, amiket csak ideiglenesen hoztam létre aldomainen és gmail-en keresztül küldözgettük a címét egymásnak.

Jaj trey, nem tudsz a sorok közt olvasni. A Gmail Man reklám arról szólt, hogy ők technikailag nem képesek hasznos információt kiolvasni a levelekből, ezért nem teszik. Persze a Gmail Man reklámot nem csak a felhasználók, de a reklámozók is látták és kezdték elzárni a pénzcsapokat. Így inkább Redmondban nekiálltak Binget fejleszteni. Ez van, nem jött be, jött a hátraarc.

( saxus | 2013. 05. 15., sze – 03:23 )

Mennyire vicces, hogy a suttyó köcsög redmondi netezők mindig az msnbot nevű böngészőt használták. Bezzeg nekünk csak a szar IE-t szállítják... 

saxus@censored:~/censored/logs$ egrep "^65.52" shared.muportal.hu.log
65.52.109.44 valami.hu - [16/Nov/2012:14:33:43 +0100] "GET /robots.txt HTTP/1.1" 200 26 "-" "msnbot-media/1.1 (+http://search.msn.com/msnbot.htm)"
65.52.109.125 valami.hu - [24/Dec/2012:00:32:16 +0100] "GET /robots.txt HTTP/1.1" 200 26 "-" "msnbot-media/1.1 (+http://search.msn.com/msnbot.htm)"
65.52.109.115 valami.hu - [08/Jan/2013:23:15:15 +0100] "GET /robots.txt HTTP/1.1" 200 26 "-" "msnbot-media/1.1 (+http://search.msn.com/msnbot.htm)"

De lehet nekem fura csak, hogy a híres-neves cikkben pont az user-agentet nem logolták...

Szerk.: néztem egy másik oldalt, hát hogy-hogy nem, az is tele van bingbotossal, csak ott a robots.txt-n kívül mást is kérdezget. (Le van benne minden).

Szerk2: Mondjuk az igazán vicces az, hogy a Googlebot is rendszeresen próbálkozik, miután van valami kisebb forgalom az oldalon. Csak annak nem kell 2 óra, elég percek is. Bár szerencsére úgy tűnik, az is tiszteletben tartja a robots.txt-t.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

( airwave | 2013. 05. 15., sze – 06:23 )

Elegge valoszinu, hogy ez igaz. Ha az uzenetkuldes nem sajat szerveren at mukodik akkor ez barhol megtortenhet es kb meg is tortenik. Nagyon naiv az, aki azt hiszi, hogy valaki azert mukodtet valamilyen szolgaltatast "ingyen", mert olyan jo fej.

Google is felhasznalja a leveleket, bongeszojevel naploz mindent, facebook eladja a szemelyes adatokat, microsoft menti az osszes uzenetet. Kit is erdekel vagy ki is tudja ezt? Es amirol nem tudnak az nem zavar senkit.

A windows-on is ha elidnit valaki barmilyen progit, ami a windows-hoz tartozik rogton kapcsolodik valami redmondi ip-hez, erdekes. Ez se zavar senkit.

De lehet hasznalni mas uzenetkuldo szolgaltatast, pl. icq, nem csak a msn es a skype letezik.

Nem teljesen tiszta nekem, hogy ez a megfigyelősdi mire jó.

Ha teszem fel robbantani akarnék, akkor mondjuk nem Skype-on értesíteném a haverokat, sőt nem is mobilon, ami a nevemre van íratva.

Kizárólag azokat figyelik, akik semmi ártalmasat nem csinálnak, de az igazi gengszterek nem lesznek olyan balfékek, hogy Skype-on dumálják meg a következő akciót.

"az igazi gengszterek nem lesznek olyan balfékek, hogy Skype-on dumálják meg a következő akciót."

Nem tudom. Én egyszer beszélgettem egy törvényszéki szakértővel, aki sok éves gyakorlattal rendelkezik. Ő azt mondta, hogy a bűnelkövetők túlnyomó többsége hihetetlenül buta, triviális hibákat ejt, durva nyomokat hagy. Csak igen kevesen vannak a kifinomultak, akik spéci titkosított merevlemezeket használnak, stb. Itt persze, a HUP közönségének sok minden triviális, de az egyszerű bűnözőknek állítólag nem.

Ettől függetlenül sokallom a lehallgatást, kamerázást, stb, csak ez a törvényszéki szakértő távoli ismerősöm azt mondta, hogy a bűnözők többsége igenis simán megbeszéli telefonon a dolgokat, legfeljebb "tolvajnyelvet" használva, de az az esetek többségében nem igazán kifinomult. Aztán persze van egy elit réteg is, ő ellenük nyilván nem használ a sima lehallgatás.

"simán megbeszéli telefonon a dolgokat, legfeljebb "tolvajnyelvet" használva, de az az esetek többségében nem igazán kifinomult"

Egyszer volt szerencsém ilyet hallani élőben, a fickó a 4-6-oson telefonált. Elég jól pörgött a nyelve, szóval csak a kötőszavakat értettem, de biztos vagyok benne, hogy felvételről párszor újrahallgatva azért a lényeget meg lehetne érteni. Kérdés, hogy ebben a formában a felvétel bizonyító erejű lenne-e.

( kubi | 2013. 05. 15., sze – 07:41 )

Nem csak a Skype. A Lync is (ami majdnem ua). A google chat-je meg direkt el is tarolja neked online, ha nem kered meg kulon, hogy ne tegye.

Ugye nem gondoljuk, hogy nem lehet a licenszeket akar ugy is ertelmezni, hogy akkor mostantol a koszos zoknid is az o tulajdonukban van?
Raadasul amerikai ceg, tehat koteles minden szolgaltatast, amely rajta keresztul fut atadni az epp aktualis kormanynak. Es igen, nagyon sokszor atmegy egy Amerikaban levo szerveren. A tiszta peer-to-peer forgalom, es eros titkositas mese.

( kmARC v | 2013. 05. 15., sze – 09:17 )

Amikor igénybe veszed az egyesült államokbeli Skype szolgáltatását, akkor elfogadod a "Terms of Use" és "Privacy Policy" dokumentumokban ismertetett szabályokat. Az utóbbi dokumentum 1-es pontjának (WHAT INFORMATION DOES SKYPE COLLECT AND USE?) n) bekezdése kimondja:
(n) Content of instant messaging communications, voicemails, and video messages (please see section 12);

A 12. pontban meg is magyarázzák, miért: "Skype will retain your information for as long as is necessary to: [ ... ] comply with applicable legislation, regulatory requests and relevant orders from competent courts."
Szóval aki hőbörög, az úgy teszi, hogy elfogadta ezeket a feltételeket. Azon lehet gondolkodni, hogy etikus-e ettől függetlenül, vagy lehetne-e másképp csinálni, stb., de az a helyzet, hogy használunk egy USA-beli szolgáltatást, akkor az USA törvényeinek meg kell felelnünk. Ennyi.

Ha valakinek nem tetszik ez, használhat egyéb, kevésbé tolakodó szabályzatú országban levő szolgáltatást, pl.: https://www.kryng.me/

Olvasd el ami az általa írt címen van:

http://www.skype.com/en/legal/privacy/

Pölö a felvetett Bingre:

"2. HOW DOES SKYPE USE THIS INFORMATION AND FOR WHAT PURPOSE?

Our primary purpose in collecting information is to provide you with a safe, smooth, efficient, and customized experience. Skype collects and uses, or has third party service providers acting on Skype’s behalf collecting and using, personal data relating to you, as permitted or necessary to:
...
- improve our search functionality and help you find and contact other Skype users more easily and accurately;"

"Belépés díjtalan, kilépés bizonytalan."

Szóval aki hőbörög, az úgy teszi, hogy elfogadta ezeket a feltételeket.
Amikor 8 éve regisztráltam, nem ezek voltak a feltételek.
Mivel csak a klienst használom (és néha frissítem), a weboldalra nem mentem fel és értesítést se kaptam a feltételek változásáról, akkor én most jogosan hőböröghetnék?

Nem emlekszem ra hogy pontosan hogy van, de en azt mondanam hogy akkor fogadsz el felteteleket amikor feltelpited a klienst vagy upgradelsz es valtozik valami, szoval elvileg ha csak nem egy 8 eves klienst hasznalsz meg mindig akkor elfogadtad az uj felteteleket is.
De mondom en sem emlekszem konkret peldara hogy volt ilyen, de altalaban igy mukodnek

------------------
http://www.youtube.com/watch?v=xnJwT_30p6k

Bank sem köti az orrodra, hogy változtat a kondíciókon, közli, hogy a weboldalukon fent van, vagy a fiókokban ki van függesztve az aktuális, old meg. És szerintem ezt a számlanyitáskor alá is írod, hogy elfogadod. Persze aztán lehet bankja válogatja.

"14. CAN THIS PRIVACY POLICY BE MODIFIED?

Skype will occasionally update this Privacy Policy to reflect changes in our software and/or products and customer feedback. When we post changes to this Privacy Policy at skype.com/go/privacy, we will update the "last revised" date at the bottom of the Privacy Policy."

"Belépés díjtalan, kilépés bizonytalan."

> Amikor 8 éve regisztráltam, nem ezek voltak a feltételek.
Egy párhuzamos univerzumban élsz? :-) Senkit nem érdekel mikor regisztráltál, valószínűleg azt is elfogadtad, hogy a változásokat is elfogadod. További jó szórakozást a témában: google://PPO botrány

_MINDEN_ ilyen "szerződésben" benne van, hogy a mindenkori legfrissebb példány érvényes, és erről meg erről az URL-ről töltheted le.

> értesítést se kaptam a feltételek változásáról ... én most jogosan hőböröghetnék?
Erre meg csak a szokásos szöveg jöjjön: "a szabályok nem ismerete nem mentesít a betartásuk alól".

Azért szólok, ha esetleg arról sem kapnál értesítést, a KRESZ is elég gyakran változik, legutóbb idén májusban.

A KRESZ-nél (jogsinál) hol írtál alá olyan passzust, hogy ezen és ezen a címen kifüggesztett legújabb "szerződési feltételek" vonatkoznak rád? Amikor csináltad a jogsit, levizsgáztál az akkor épp aktuális tananyag változatból, erről kaptál 1 igazolást hogy letetted. Namármost azóta küldött neked az okmányiroda / magyar állam / tudjaf*szom melyik sóhivatal a felelős ezért / levelet, hogy változott a kresz? Leadják TV-ben v. újságban? Hát az maximum best effort, mernél ilyet csinálni clges ügyfelek felé ("magánszemélynek lehet, azok nem emberek"), éhenhalnál. Ott van a címem a rendszerben mint regisztrált jogsi bitorló, küldjenek egy tetves ajánlott levelet a változásokról. Ja hogy állambácsinak nincsenek kötelezettségei csak kiváltságai...

> A KRESZ-nél (jogsinál) hol írtál alá olyan passzust, hogy ezen és ezen a címen kifüggesztett legújabb "szerződési feltételek" vonatkoznak rád
Sehol. Csak arra akartam figyelmeztetni a hozzászólót, hogy a körülötte levő világ viszonyaival inkább most ismerkedjen meg, minthogy beszopja. Attól, hogy nem írtál alá ilyesmit, attól még ez van, mert ez szokott lenni. Attól, hogy azt hiszed, hogy a skype-nál nem írtad alá, attól még aláírtad, hiszen benne van az ászf-ben, mert ez szokott lenni.

> Leadják TV-ben v. újságban?
TV-ben híradókban biztosra venném, hogy benne volt (ilyet nem láttam egy ideje). Rádióban híradóban biztos, hogy volt, magam hallottam. Papír alapú újságot nem olvasok, de kizártnak tartom, hogy ne lett volna benne. Internetes újságokban benne volt, google news-on keress rá a "2013 KRESZ" kifejezésre, és láthatod, nemcsak a hirado.hu hozta le. Emellett a Közlönyben benne _kell_ lennie.

Szóval neked is szólok, a naivságot úgyis leverik a hátadon és fizethetsz, szóval inkább ismerkedj meg a való világgal (izé szorri, magyar közéleti dolgokkal)...

Nem olvasom el. Nemcsak azt, hanem a megváltozott EULÁ-kat sem (lásd: ezt a hozzászólásomat a PPO-s szopásról.

De ha azt hiszed, hogy attól, hogy nem olvastad el, neked van igazad, tévedsz. Ezt mutatja a PPO-s ügy is, és a Skype EULA változtatása. Ide is leírom, mert úgy látom nem sikerült értelmezni: ez szerintem _NEM_ jó, _NEM_ tisztességes, _NEM_ igazságos. De jogszolgáltatlás van, és jogilag így van rendjén.

"Egy párhuzamos univerzumban élsz? :-) Senkit nem érdekel mikor regisztráltál, valószínűleg azt is elfogadtad, hogy a változásokat is elfogadod."

Tehát akkor ez szerinted úgy van, hogy ha valaki ír egy programot, amelyet te használsz, elfogadtad az EULA-t az 1.0-s verzió telepítésekor, akkor a szerző - ha úgy akarja - kihozhatja az 1.2-es frissítést, aminek a figyelmeztetés nélkül megváltoztatott licencében már az van benne, hogy

... amennyiben a programot a továbbiakban használni akarod, akkor naponta kétszer tevékkel kell fajtalankodnod fényes nappal a Váci utcán piros lakk tangában és rikító zöld tűsarkú cipőben...

és akkor ez rád nézve jogilag kötelezővé válik vagy te abba beleegyeztél? Nem hiszem.

Inkább az az életszerű, amit az Apple csinál. Pl. nekem az iPhone minden egyes App Store licenc váltásnál a pofámba nyomja az új licencszöveget és amíg el nem fogadom, nem is tudom tovább használni.

--
trey @ gépház

> Tehát akkor ez szerinted úgy van
Nem, szerintem nincs úgy. Hanem úgy van, ahogy írtam a hsz-emben: Ha elfogadtad, hogy a mindenkori EULÁ-t is elfogadod, akkor igen, jogilag rádnézve kötelező.

Nem arról van szó, hogy ez jó-e vagy sem (szerintem sem jó, de a PPO-s ügy kapcsán megtanultam), hanem arról van szó, hogy mi a valóság. Márpedig a valóság az, hogy vannak cégek, akik kihasználják a jóhiszeműséged, ami azt diktálja, hogy "nicsak, egy ingyenes szolgáltatás, 1) el sem olvasom az EULÁ-t, vagy 2) elolvastam az EULÁ-t, ha most elfogadom, akkor időnként újra át kell olvasnom, de hát nem töröm magam össze, mert jóhiszemű vagyok, mit változtatnának?!".

Talán így érthetőbb, mire próbáltam utalni.

Amúgy a PPO-sok azért voltak zseniálisak, mert ől _SZÓLTAK_ a megváltozott feltételekről, és arról, hogy január 1-én leemelik a kártyádról a pénzt. Hogy miért szopta be mégis több ezer ember? Mert a belső levelezőrendszerben szóltak.

Gondolom te sem lépsz be a skype/akármi accountodba időnként, hogy ellenőrizd, van-e "belső" üzenetküldő rendszerük és jött-e rajta üzenet, hanem ha valami fontosat akarnak (ahogy itt akartak) majd küldenek e-mailt.

Igen, az end user volt a balfasz, elolvasta az EULÁ-t, elfogadta, stb. Igen, valószínűleg a következő alkalommal is pórul fogok járni, mert továbbra sem lépegetek be random szolgáltatások belső üzeneteit olvasgatni.

Viszont tény: vannak ilyen cégek, igénybe vesszük a szolgáltatásaikat, most éppen a Skype (MS) ilyen. Még egyszer mondom: ezzel nem értek egyet, de a posztolónak jobb, ha tudja, a szabályok és a törvény ilyenkor nem az ő oldalán áll.

"Gondolom te sem lépsz be a skype/akármi accountodba időnként, hogy ellenőrizd, van-e "belső" üzenetküldő rendszerük és jött-e rajta üzenet, hanem ha valami fontosat akarnak (ahogy itt akartak) majd küldenek e-mailt."

Biztos, lehetsz benne, hogy nem, mert életemben egyszer használtam Skype-ot kényszerből, de azóta se és feltehetően nem is fogok, hacsak valaki rá nem kényszerít.

--
trey @ gépház

Még egyszer:

"Egy párhuzamos univerzumban élsz? :-) Senkit nem érdekel mikor regisztráltál, valószínűleg azt is elfogadtad, hogy a változásokat is elfogadod."

Ennek a bíróság előtt is ki kell állnia a próbát. Véleményem szerint egy ügyes ügyvéd ezeket a célzottan simlis próbálkozásokat könnyen megfogná, hiszen a normális eljárásra az iparban számtalan példa van. Említettem az App Store-t, de ha telepítesz pl. csak egy Service Pack-et egy Windowsra, ott is el kell fogadnod az EULA-t újra.

Szóval nem jósolnék nagy sikert annak a cégnek a bíróságon, amelyik ilyesmivel trükközik.

--
trey @ gépház

( uid_6846 | 2013. 05. 15., sze – 12:27 )

A Windows Live Mail használatakor is elolvashatják a levél tartalmát? :)

Pl:

http://urlsigner.sourceforge.net/overview.html

Onnan, hogy:

For example imagine that you have a JSP page which accepts commands via HTTP using a "cmd" parameter with perhaps some optional arguments then a user might issue a command to the application by sending a HTTP request (e.g., via wget) of the form: 


http://urlsigner.sourceforge.net?cmd=shutdown

Of course if the command is publicly known or can be viewed over the network then anyone can issue this command to the server. This presents a secure risk that is not abated by attaching user credentials or similar to the password since any such URL can be merely resent by an interceptor in what is known as a replay attack.

--
trey @ gépház

Szerintem ez a keszito hibaja, ha egy jelszo nelkuli GET keressel minden torolheto.

Amugy meg:
http://thedailywtf.com/Articles/The_Spider_of_Doom.aspx

--
The programmers of tomorrow are the wizards of the future. You know, you're going to look like you have magic powers compared to everybody else. -Gabe Newell

( Nyosigomboc v | 2013. 05. 16., cs – 00:02 )

nyos@hex:~$ grep Alexandra /var/log/apache2/access.log
195.228.x.x - - [13/May/2013:14:11:40 +0200] "GET /Alexandra.jpg HTTP/1.1" 200 1594535 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:20.0) Gecko/20100101 Firefox/20.0"
195.228.x.x - - [13/May/2013:14:12:09 +0200] "GET /Alexandra.jpg HTTP/1.1" 200 1594535 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.64 Safari/537.31"
65.52.100.214 - - [13/May/2013:16:12:04 +0200] "HEAD /Alexandra.jpg HTTP/1.1" 200 301 "-" "-"

Az 1. latogatas en voltam, amikor ellenoriztem a gepemre kilinkelt kepet. Utana bemasoltam Skype-ra a cimet, es a kollegam megnezte (2. sor).
A 3. sorban mar redmondi IP cim van (eleg rakeresni).
Directory listing nincs, mashova nem kerult fel a link.

--
The programmers of tomorrow are the wizards of the future. You know, you're going to look like you have magic powers compared to everybody else. -Gabe Newell

Megerősítve, nekem is meglátogatták 2 és fél órával később a teszt URL-eket http és https esetén egyaránt.

Viszont nem töltötte le a képet GET-tel, mint ti, csak egy HEAD van rá, hogy létezik-e a file. A méretből is látszik, hogy csak 301 byte volt a forgalom és nem 1594535 byte, mint nálatok... Szóval így kevésbé gáz.

Igen, azt lattam, hogy HEAD, es nem GET.
Amikor kilinkeltem a kepet, meg nem tudtam errol a hirrol, nem ezert tettem ki. Ha direkt ezt akartam volna tesztelni, akkor egy html-t tettem volna ki, es figyelem mikor indexeli be a Bing. Nem tartom kizartnak, hogy akkor letoltotte volna, de nem probaltam ki (es most mar, hogy botrany lett belole, nem is biztos, hogy aktiv meg a rendszer).
Mondjuk az en gepem nem volt blacklisten az MSN-nel sem :)

Hozzad HEAD vagy GET keres ment?

--
The programmers of tomorrow are the wizards of the future. You know, you're going to look like you have magic powers compared to everybody else. -Gabe Newell

Gyanítom, hogy nem csak az érdekli, hogy létezik-e, előbb vagy utóbb jön az a GET is...

Akkor mondanám, hogy nem gáz, ha előtte szépen lecsekkolja a robots.txt-t is.

"...handing C++ to the average programmer seems roughly comparable to handing a loaded .45 to a chimpanzee." -- Ted Ts'o