Van valamekkora alapja, de ki kéne próbálni élesben is. Nem minden böngésző sebezhető ilyesmire, meg valószínűleg azóta már javítva lettek. Mindenesetre a slide-on van két kifejezetten autocomplete-es lopás, kérdés, hogy vajon jelszavakra működnek e, vagy csak felhasználói adatokra...
Ahogy nézem csak valószínűleg safari-ból voltak kinyerhetőek így a felhasználói adatok, a többi böngésző eleve védett lehetett... Lehetne írni teszt scriptet, majd talán meg is teszem valamikor...
Itt van rá proof of concept demo, csak safariban megy, és 2010-es, elvileg 4-es és 5-ös verziók sebezhetőek... Azért megnyugtató, hogy a trendi böngészőkben nincs ekkora baromi nagy sebezhetőség... Az XSS-es jelszó lopásra is igazán kitalálhatnának még valamit...
Van fifikásabb megoldás, ami már a legtöbb böngészőben működik, legalábbis működött 2011-ben. Csak rá kell venni a felhasználót, hogy használja a nyilakat.
Még most is működik firefox-ban, csak annyi extra van, hogy a bal felső sarokban megjelenik az autocomplete box az email címekkel, amiket bejelentkezéskor használok... Elég ijesztő...
Oké, ennek már legalább köze van az autocomplete-hoz :-) de még mindig nem túl meggyőző. Ugye arról van szó, hogy a hekker feltöri az oldalt, te odamész a login űrlapra, a böngésző automatikusan kitölti a jelszót, és a támadó hozzáfér. A gyakorlati jelentősége ennek nulla közeli, mert amikot beírod és megpróbálsz bejelentkezni, amúgy is hozzáférne.
Nyilván ha a támadó hozzáfér ahhoz az oldalhoz, amire be szoktál jelentkezni, akkor közel bármit meg tud csinálni, többek között a tárolt jelszavadat is ki tudja halászni; erre vannak egészen pihent módszerek is (a kedvencem a bruteforce-olás ligatúrákkal), de ennek az impaktja kicsi, pont mert ha már adott az XSS rés, a támadó úgyis mindent meg tud csinálni...
Ja, de a demo-nak nem sok köze van a google vagy facebook domain-ekhez, mégis ki tudta nyerni az email címet, amit facebook bejelentkezéshez használok... Szóval ehhez úgy látszik nem is kell XSS... Nem néztem még meg, hogy hogyan csinálta, jelenleg REST-el foglalkozok, a security témakör most csak másodlagos...
Sima autocomplete (nem a jelszókezelő, hanem az alap; az nincs domainre korlátozva). Gondolom valami egyedi nevet adnak ezek az oldalak az űrlapnak, ami utánozható. Ügyes, de még ez sem túl veszélyes szerintem (esetleg ha hitelkártya-adatok lopására fel lehet valahogy használni).
Good point. Azt írták :D meg egyébként így lenne logikus...
Most, hogy így belegondolok ez nem igaz, mármint facebook és gmail is titkosított, és mégis megjegyzi... Legközelebb rendesen utánakeresek mielőtt ilyen kijelentéseket teszek...
Valószínűleg rosszul emlékszem, és nem a megjegyzésre írtak ilyesmit, hanem az XSS-re. Ott ha jól emlékszem szólni szokott, ha titkosított oldalról nem titkosítottra lépsz át...
Itt nincs semmilyen oldalátlépés, egyszerűen a böngésző nem köti oldalhoz az automatikus űrlapkiegészítést, csak az űrlapmező nevéhez. Ez általában hasznos dolog, mert ha A oldalon már kitöltötted a "lakcím" és "kedvenc színe" mezőket, akkor B, C, és D oldalakon nem kell újra; de nyilván azzal jár, hogy tetszőleges E oldal is könnyen hozzáférhet.
Ja gondolom mindegyik oldalhoz van speckó mező név, azért lehet kiválasztani, hogy facebook, twitter, gmail, etc... Mindegyiknél más lehet a login mező neve. Jó, hát erre is fény derült...
Ha XSS van a távoli oldalon az már régen rossz, és akkor nem csak a jelszavadat lopj el, hanem sok más dolgot is csinál helyetted. És ez csak akkor műkôdik, ha az autocomplete rosszul van megoldva.
Yepp a jelszó lopás csak XSS-el megy. A személyes adatok megszerzéséhez szerintem nincs szükség XSS-re. Nekem legalábbis úgy rémlik, hogy a name, company, etc... mezőket úgy általában kitölti magától a firefox is, nem kell begépelni őket minden egyes oldalon külön külön.
A Firefox egyáltalán nem csinál ilyet magától. A Chrome igen, de az első mezőt ott is neked kell kitöltened. Másrészt ezek tipikusan nem túl érzékeny adatok (arra szerintem minden böngésző figyel, hogy hitelkártyakódnak tűnő adatot ne mentsen a form wizardba).
Hát nekem az email cím, teljes név, lakcím, telefonszám, stb... mind érzékeny adatnak számít... Valahol elég csak névvel és lakcímmel azonosítanod magad. Láttam már pár csalókról szóló filmet, és ezeket az információkat lazán fel tudják használni ellened. Nyilván addig nincs gond, amíg ezek egy tucat adatbázisba kerülnek, amit reklám célból adnak el. A nagyobb para akkor van, amikor visszaélnek ezekkel az adatokkal, és mondjuk amíg dolgozol felhívják a lakatost, hogy kéne egy zárcsere, megadják a neved és a lakcímed, aztán visznek mindent a házból, stb...
Jó lenne egy megbízható demo
http://www.wisec.it/historySt
demo
Csak saját felelősségre, nem tudom, hogy mit csinálnak a megszerzett adatokkal :D
A jelszó lopás egy érdekesebb dolog, de nem tartom kizártnak, ha az email címekkel viszonylag simán megy... (legalábbis firefox-ban)
Hát ez úgy hülyeség, ahogy
Na akkor ideje alaposabban
Rossz az eredeti link, amit
http://www.slideshare.net/jeremiahgrossman/breaking-browsers-hacking-autocomplete-blackhat-usa-2010
Van valamekkora alapja, de ki kéne próbálni élesben is. Nem minden böngésző sebezhető ilyesmire, meg valószínűleg azóta már javítva lettek. Mindenesetre a slide-on van két kifejezetten autocomplete-es lopás, kérdés, hogy vajon jelszavakra működnek e, vagy csak felhasználói adatokra...
Ahogy nézem csak valószínűleg safari-ból voltak kinyerhetőek így a felhasználói adatok, a többi böngésző eleve védett lehetett... Lehetne írni teszt scriptet, majd talán meg is teszem valamikor...
i-know-who-your-name-where-yo
Itt van rá proof of concept demo, csak safariban megy, és 2010-es, elvileg 4-es és 5-ös verziók sebezhetőek... Azért megnyugtató, hogy a trendi böngészőkben nincs ekkora baromi nagy sebezhetőség... Az XSS-es jelszó lopásra is igazán kitalálhatnának még valamit...
Van fifikásabb megoldás, ami
http://www.ghacks.net/2011/10/25/browser-autocomplete-feature-may-reveal-personal-data/
Itt a demo:
http://www.wisec.it/historySteal/3d.html
Még most is működik firefox-ban, csak annyi extra van, hogy a bal felső sarokban megjelenik az autocomplete box az email címekkel, amiket bejelentkezéskor használok... Elég ijesztő...
Oké, ennek már legalább köze
Nyilván ha a támadó hozzáfér ahhoz az oldalhoz, amire be szoktál jelentkezni, akkor közel bármit meg tud csinálni, többek között a tárolt jelszavadat is ki tudja halászni; erre vannak egészen pihent módszerek is (a kedvencem a bruteforce-olás ligatúrákkal), de ennek az impaktja kicsi, pont mert ha már adott az XSS rés, a támadó úgyis mindent meg tud csinálni...
Ja, de a demo-nak nem sok
Sima autocomplete (nem a
Nem valószínű, SSL-nél nem
hol?
Good point. Azt írták :D meg
Most, hogy így belegondolok ez nem igaz, mármint facebook és gmail is titkosított, és mégis megjegyzi... Legközelebb rendesen utánakeresek mielőtt ilyen kijelentéseket teszek...
Valószínűleg rosszul emlékszem, és nem a megjegyzésre írtak ilyesmit, hanem az XSS-re. Ott ha jól emlékszem szólni szokott, ha titkosított oldalról nem titkosítottra lépsz át...
Itt nincs semmilyen
Ja gondolom mindegyik
XSS
Yepp a jelszó lopás csak
Ahogy nézem, csak safari volt sebezhető ezzel.
A Firefox egyáltalán nem
Hát nekem az email cím,