Fórumok
Üdv!
Nem vagyok otthon security ügyekben, ezért elnézést a hülye kérdésért, de azért megkérdezem, van-e ilyen (a tárgyban jelölt) módszer?
Tehát pl. gmail esetén is meg tudják-e csinálni, hogy a böngésző által eltárolt jelszót valami js cuccal kilopják?
Arról hallottam, hogy freemail esetén simán lefut egy levélbe rakott js, azt is tudom, hogy gmail-ben nem, de ha egy linkre az óvatlan user rákattint, ami egy csúnya oldalra viszi az említett js lefuttatása céljából, akkor sikert tud-e elérni?
Hozzászólások
Bongeszo altal eltarolt jelszo lopasa: ha ilyen letezne js-sel, akkor az a bongeszo hibaja lenne, es csak azokon mukodne akik beallitanak a jelszavak tarolasat (normalis ember ilyet nem tesz). Szerintem nem jelszot, hanem session/autologin cookie-t akarsz lopni. Jelszo szinte mindenhol csak a bejelentkezesnel kuldodik el. Mindenesetre barmit is akarsz, ahhoz ra kell venned a bongeszot, hogy js-t futtasson. Nem tudom freemailrol ilyet mikor/kitol hallottal, de en kb 2 eve probaltam ki, es az alapveto dolgok (script, js eventek, css, stb) szurve voltak. Citromailt legutobb par honapja neztem, <script> gond nelkul lefutott mindenfele fuzzing nelkul. Kivetelesen nem session cookie-t loptam (mint amikor yahoo xss-nel), hanem kamu ujra bejelentkezteto ablakot hoztam fel, amibe 5-bol 5-en beirtak a jelszot.
Link kuldese: olyat lehet, hogy az ovatlan gmail user rakattint valami linkre, de azzal sem jelszot, sem cookie-t nem tudsz lopni, hiszen masik domain-en fut. A lenyeg az lenne, hogy a gmail adjon be olyan lapot webmailezes kozben, amiben az ominozus kod szerepel (es le is fut, persze).
"beallitanak a jelszavak tarolasat (normalis ember ilyet nem tesz)"
Ennek milyen biztonsági kockázata van? (Azon kívül, hogy ha elmegyek a géptől képernyőzár nélkül, valaki odamehet és megszerezheti a jelszót.)
Jo rendben, a 'normalis emberek' talan tulzas volt. Izlesek es pofonok. Az en izlesem, hogy nem taroltatom el a bongeszovel a form mezoket. A jelszavakat foleg nem.
De ha jol emlekszem, nem errol szolt a topik, hanem js-rol, xss-rol.
Valóban, cookie-ra gondoltam. Nyilván csak akkor megy, ha a user eltárolja a jelszavát.
Ha más domain-re visz a link, akkor nyilván valamilyen "nem normális" módon lehet cookie-t olvasni (böngészőlyuk).
Úgy tudom a gmail nagyon vigyáz a beágyazott webtartalmakra a saját oldalán, szerintem nem működhet, de nem tudom. Van, aki tudja?
Aki tudja gmail-re a megoldast, az vagy publikalja (ebben az esetben mukodik 1 napig max), vagy megtartja maganak. Ezt szerintem feleslegesen kerdezed itt.
"Valóban, cookie-ra gondoltam. Nyilván csak akkor megy, ha a user eltárolja a jelszavát."
Nem, akkor sem. Olyat meg nem lattam, hogy protected storage-bol js kiolvasson barmit csak ugy. Elofordulhat, de akkor az eleg kemeny bug.
Hogyan futtatsz le JS-t a citromailben?
Simán. Legutóbb x hónapja talán fél éve próbáltam. Vagy sima <script> volt, vagy <img onload. Elsőre ment, ez biztos.
Én más csináltam ilyet, de csak akkor működik, ha az adott honlapon scriptet tudsz futtatni. 2008-ban ez viszont már nem igazán lehetséges.
Ha a gmail oldaláról elnavigálsz, akkor már nem érheted el az ottani sütiket, mert a sütik mindig a domain-hez, vagy annak egy adott mappájához kötődnek.
Úgy látszik én is valami régi ügyről hallottam. Gondolom foltozatlan IE vagy FF luk kell hozzá ezek szerint.
"Bongeszo altal eltarolt jelszo lopasa: ha ilyen letezne js-sel, akkor az a bongeszo hibaja lenne,"
Van(volt) ilyen, sőt teszt oldal is létezik rá. :)
http://www.heise-online.co.uk/security/services/browsercheck/demos/moz/…
Az o/a így nem adja ki a jelszót.
Tehet tesztelni a böngészőket! :)
Ez nagyon durva! Őrület, hogy képtelenek kijavítani! Se Opera, se IE, se Konqueror nem csinálja ezt a hibát. Nagyon ciki..
FF 3-mal próbálta valaki?
Azért nem eszik olyan forrón a kását...
Ez a "hiba" a mozilla fejlesztői előtt is ismert dolog.
Azonban szerintük, ha egy támadó képes (ártalmas) kódot elhelyezni azon a szájton ahol a bizalmas adat bekérés (pl. user/jelszó) történik, akkor nagy valószínűséggel bármilyen egyéb formában lenyúlhatja az általad megadott bizalmas infókat, böngészőtől függetlenül.
ui: egyébként az apple safarija is használja ezt a fícsőrt.
Igaz, hogy ekkor már mindegy, de azért csak kihagyhatnák ezt a "fícsört". Vagy valamihez kell ez? Gondolom xul extension-ökhöz pl.?
igen, regebben hasznaltam a jelszokezelot, de emiatt szoktam le rola.
pedig ezt mar allitolag javitottak egyszer.
Tyrael
Nem mindegy, hogy azt szerzik meg, amit a jelszókezelő rak be automatikusan, vagy azt, amit beírsz?
FF nem változott, mos is kiadja. :(
Még szerencse hogy o/a-t használok! :)