Just nu i M3-nätverket
Gå till innehåll
fhe

Säkerhetshål för andra browsers än IE

Rekommendera Poster

fhe

För en gångs skull gynnas IE av att vara sen med standards.

 

Det här drabbar bara de som har stöd för IDN:

http://www.shmoo.com/idn/

 

Jag kan inte se någon enkel solklar lösning annat än för https-sajter (där man trots allt kan matcha mot ceritifikatet).

 

Edit:

Förklaring. IDN går ut på att kunna skriva nationella tecken (dvs anant än A-z och 0-9) i webbadresser. Det hålet går ut på är att man tar ett tecken som ser ut att vara t.ex ett y och stoppar in det istället för y i paypal.com, sen reggar man domänen som heter det man egentligen skriver.

 

Jag tror inte på att uppnå säkerhet genom att inte låtsas om vad man kan göra så här kommer tyvärr ett konkret exempel (som jag överlåter till moderatorn att ta bort om han inte tycker det passar, därför anmäler jag mitt inlägg)

(IDG, här får ni ett artikeluppslag) En närliggande scam som skulle kunna drabba rätt många svenskar (som inte vet bättre) vore att t.ex regga eurocard, firstcard (eller något annat) och stoppa in ett ryskt s istället för c. Vad man behöver göra därefter för att lura av folk lösenord är ganska uppenbart och rätt lätt gjort.

 

[inlägget ändrat 2005-02-08 11:20:38 av fhe]

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Stefan Eklinder

 

Det står omnämnt här på IDG också:

http://www.idg.se/ArticlePages/200502/08/20050208102730_NOK/20050208102730_NOK.dbp.asp

 

Satte Network.enableIDN till False hos mig nu. :-)

Dubbelklicka på raden så blir True till False.

 

 

---

C:\Eforum\Stefan Eklinder>|

 

Murphys lagar om datoranvändande:. 6. Den som skrattar sist har antagligen gjort en backup. - Yttermera, E-verything

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Hakinger

Det finns en lösning om man nu tillhör den sorten som svarar på phishing-email eller klickar på länkar till sin bank från porrsajter ;) :

 

http://forums.mozillazine.org/viewtopic.php?t=214828&postdays=0&postorder=asc&postsperpage=15&start=15

[log] The workaround for firefox seems to be an edit to your compreg.dat.

 

For windows

c:\Documents and Settings\$USER\Application Data\Mozilla\Firefox\Profiles\default.random\compreg.dat

 

For UNIX

~/.mozilla/firefox/default.random/compreg.dat

 

Removing the line that references IDN makes the problem go away. Using Find, there was a single reference for the UNIX host and 2 for the Win32 host. Removing the lines and restarting the browser makes the attack fail regardless of the about:config/userprefs.js value.

 

Here's an example entry.

 

{4byteshex-2byteshex-2byteshex-2byteshex-6byteshex},@mozilla.org/network/idn-service;1,,nsIDNService,rel:libnecko.so

 

Cheers,

-BeesT[/log]

 

Dock lär ju compreg.dat återgå till det "normala" när man kör in en ny version av Firefox, men förhoppningsvis så innehåller den nya versionen en permanent fix. Ett annat sätt för att veta att man inte hamnar hos skumma lirare är att skriva in adressen till banken, eller det ställe man vill vara säker på, själv i adressraden eller använda sin egen länk som man evntuellt har i bokmärken.

Men den säkraste metoden är väl att alltid komma ihåg att inget seriöst företag nånsin ber en att bekräfta lösenord och eventuella kreditkortsnummer via email.

http://www.polisen.se/inter/nodeid=31590&pageversion=1.html

 

[inlägget ändrat 2005-02-08 11:50:26 av Pentti H]

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
zerblat
Jag kan inte se någon enkel solklar lösning annat än för https-sajter (där man trots allt kan matcha mot ceritifikatet).

Men det hjäper inte om man lyckats skaffa ett ssl-certifikat för t ex p<kyrilliskt a>ypal.com, som i exemplet...

 

Det är märkligt att det överhuvudtaget går att registrera IDN-domäner som rent grafiskt ser exakt ut som redan registrerade domäner som tillhör nån annan. Där ligger det stora problemet.Dessutom borde de ju även undvika att låta folk registrera domäner som pavpal.com eller rnastercard.com osv...

 

Iofs finns, som Stefan nämner, en inställning för att slå av IDN, men den verkar inte funka efter att man startat om Firefox...

 

Iaf, den bästa lösningen (förutom att få domänregisterarna att skärpa sig) är att filtrera bort homografer (tecken som ser likadana ut) i bläddraren, och möjligtvis även att se till att IDN-url:er ser annorlunda ut (precis som ssl-url:er är gulaktiga och har hänglås). Här är den relevanta buggen: https://bugzilla.mozilla.org/show_bug.cgi?id=279099

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
fhe
Men det hjäper inte om man lyckats skaffa ett ssl-certifikat för t ex p<kyrilliskt a>ypal.com, som i exemplet...

Sant.

Dessutom borde de ju även undvika att låta folk registrera domäner som pavpal.com eller rnastercard.com osv.

Fast det är nästan omöjligt.

Om jag registrerar en IDN-domän hos joker.com så kan de ju inte förväntas göra en godtycklig bedömning av iaf mitt ryska uc.com (is.com (*)) råkar vara för likt den svenska uc.se och isf stoppa mig, det kan ju faktiskt vara så att jag med rätta vill ha just en .com-variant av min is.ru

 

Edit: *) jag har inte kollat om just .com har riktiga idn än men jag har för mig det.

[inlägget ändrat 2005-02-08 12:06:19 av fhe]

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Skapa ett nytt konto på vårt forum. Det är lätt!

Registrera ett nytt konto

Logga in

Redan medlem? Logga in här.

Logga in nu



×
×
  • Skapa nytt...