Security-all

Sziasztok!

A kerdesem az lenne, hogy ha a felhasznalo definialhatja a CSS-t egy oldalon (opcionalisan masnak is), azzal valami trukkos modon tud-e JS-t is futtatni?
Gondolok itt olyanra, mint amikor forum hozzaszolasban tiltanak bizonyos tag-eket (vagy BBCode-dal csinaljak teljesen maskepp), hogy mondjuk img tag fole vitt egerrel ne lehessen XSS-es tamadast csinalni.
Van valami hasonlo problema CSS-el, es ha igen, akkor mit kell szurni hozza, hogy biztonsagos legyen?

Koszi.

Nyos

Az létezhet,
hogy több mint 10 ezer dokumentum szabadon letölthető a netről, méghozzá az NHH weboldaláról?
Dokumentumok, szerződések, névjegyzékek.

Tervezési hiba, amit véletlen beindexelt a google?

Tetszene ez a Chrome, de nem vagyok meggyőzödve róla, hogy biztonságos-e. Jelenleg a Firefox is plusz pluginokkal fut nálam, és paranoiás konfiggal. A kérdésem az lenne, hogy megoldhatók-e a következők Chrome alatt (gugliztam már, de mindig alternatív program lett a vége, mint pl az Iron, nekem mainline Chrome kellene, csak átkonfigurálva):
- biztosítani, hogy semmilyen információ ne menjen a google-nek a böngészőből (max software update infók)
- regexp képes adblocker
- minden egyes sütire kérdezzen rá, fontos, hogy legyen "allow for session" opció

Hogy érthetőbb legyen, FF alatt ezek a következők:
- about:config, kézzel minden google-s link törlése (browser.safebrowsing.malware.reportURL, geo.wifi.uri, gecko.handlerService.schemes.mailto és tsai)
- adblock plus
- sütik elfogadása pipa, elfogadás harmadik féltől tiltva, sütik megtartása: megerősítés minden alkalommal

Mi a tapasztalatok, megoldhatóak ezek csupán konfiggal Chrome alatt?

1. Milyen adatokat,
2. milyen rendszerességgel,
3. milyen programmal, szkripttel*,
4. és nem utolsósorban hova
szoktatok menteni?


(* = ha ezeket, vagy mintákat megtudnátok osztani hálásan megköszönném a közösség nevében)


Üdv,

Eddig a szervereink SSH portjai csak fix IP-kről engedélyeztem.
A dolgok változnak, így nem fix IP-t is be kellene engedélyezni.
Hozzáértők szerint, port kopogtatás+CSAK SSH kulccsal való belépés elfogadható szintű biztonságot ad-e? (GeoIP-vel még esetleg lehet szűkíteni az engedélyezett forrás IP tartományok listáját.)

1) Volt már erről szó itt is, csak nem találtam.
2) Tisztában vagyok vele, hogy a GeoIP-sem 100%-os.

Üdv!

Ezt a kérdést "$SUBJECT" tette fel nekem egy ismerősöm, de nem tudtam válaszolni rá. Elvileg van valami speciális vagy hagyományőrző oka...

Tudja valaki?

Z.

(Már biztos mindenki únja de azért leírom, TV, rádió gondolom csak erről beszél, mert "ez a legújabb ügy", politikai szálat, választásokkal kapcsolatos részeket, stb. kiszedtem)

neve elhallgatását kérő informátorunk a rendelkezésünkre bocsátotta azokat a felvételeket, melyek bizonyítják, hogy a Nemzetbiztonsági Szakszolgálat (NBSZ) internetes hálózati megfigyelést végez a xxxxx

- informátorunk elmondta, hogy az NBSZ. munkatársai xxxxx megjelentek az internetszolgáltató xxxxx Kft xxxxx irodájában, és a cég munkatársaival titoktartási nyilatkozatot írattak alá. Ezzel egy időben az xxxxx teljes hálózatmonitorozására és szűrésére alkalmas eszközöket telepítettek le. -

xxxxx számítógépein történő tevékenységeket monitorozzák, naplózzák, valamint valós időben online továbbítsák egy meghatározott IP. címre jelszavakkal, felhasználói nevekkel és fájlokkal együtt.

Eddig annyit sikerült megtudnunk, hogy a megfigyelt számítógépek forgalmazását az eszköz egy T-com-os IP. címre továbbítja..

Egy ilyen kis kütyüt raktak be: kép

és így működik (ábra)

Sziasztok.

Szeretném most az elején leszögezni, hogy nem valamiféle how to-t akarok létrehozni, csak nem megy ki a fejemből a dolog.

Ugyanis nemrégiben láttam a Lopják az életem című dokumentumfilmet, ami az "identitástolvajokról" szól. Azaz lényegében arról, hogy hogyan lopják el a bűnözők a bankszámlákról a pénzt. És van benne egy rész, amikor az etikus hackerek beszállnak egy autóba és találomra járják az utcákat. A náluk lévő laptopon pedig a netstumbler segítségével azt mutatják, hogy milyen sok levédetlen wifi hálózat van egy átlagos nagyvárosi utcában. És azt mondja az egyik hacker, hogy most akár el is tudná lopni a védtelen hálózatokon áthaladó banki jelszavakat és felvenni a számlákon lévő pénzt.

Arra lennék kíváncsi, hogy ezt mégis hogy?
Nyílván letudja hallgatni a hálózatot, sőt valószínűleg be is tudna törni a gépekre és trójait telepíteni rá, így megszerezhetné a jelszavakat, amikor az áldozat online intézi a banki ügyeit, vagy mondjuk, amikor éppen a neten vásárol valamit.
De szöget ütött a fejemben a kérdés, hogy mégis hogyan csinál ebből pénzt? Ugyanis ha átutal az áldozat számlájáról a saját számlájára, akkor azt simán letudja nyomozni a rendőrség, nem? Vagy ha a neten vásárol valamit a másik kontójára, akkor a rendőrök kikérik az adatokat az online bolttól és egyszerűen elmennek a házhoz, ahova a termékeket megrendelték, nem?

Sziasztok, csak egy egyszeru kerdesem lenne, gondolom gyorsan kapok ra valaszt: miert kell blokkolni a portokat es csak azokat engedelyezni amiket valoban hasznalunk?(hujenek tunik a kerdes de megis felteszem , mert nem tudom ra a valaszt)

Szeretnék beengedni egy csak kulccsal azonosított felhasználót ssh-val, aminek csak az scp-t engedélyezném, azt is csak 2 file-ra.

Az authorized_keys file paraméterezésében kérném a segítségeteket, hogy ne hagyjak ki semmit. Vagy egyéb javaslat....