מאמרים אחרונים

שתף בפייסבוק שיתוף בפייסבוק
RSS - מאמריםמאמרים
RSS - פורומיםפורומים
דווח למנהל דיווח למנהל
קישור לעמוד זה קישור לעמוד זה
עוד בקבוצת HT



Internet Explorer 8 - הדפדפן המאובטח ביותר


עמוד 2 מתוך 2
עבור לעמוד הקודם  |  1  |  2 
   פורומים > HTPC ומחשוב > אינטרנט - ספקים, תשתית, סיבים fiber
מחבר הודעה
מסכם_עניין
חבר פעיל מאוד
חבר פעיל מאוד

הצטרף בתאריך:
  Jan 20, 2008
הבעות תודה: 10
מספר הודעות: 430

 #16  נשלח: שבת 29/08/2009 22:26

Shed כתב:
מסכם_עניין כתב:
moco,

csrf הוא בעיה קשה, אתה יכול לקרוא קצת על כך בכתובת הבאה

http://threatpost.com/blogs/defcon-csrf-attacks-ma...

ב IE8 בשילוב עם windows 7 פתרו את זה חלקית, דגש על המילה חלקית.

אתרים שנפגעו מזה:
1. gmail
http://www.securiteam.com/securitynews/5ZP010UQKK....

2. facebook (עדיין פרוץ ל csrf , חובה לראות את הוידאו) לינק:
http://www.thetechherald.com/article.php/200934/42...

3. walla
http://news.walla.co.il/?w=/21/1205252/@@/item/pri...

והרשימה כמעט אינסופית.


CSRF אינו תלוי בגלישה בטאבים ואפשר לממש התקפת CSRF על אתר פגיע גם כאשר כל הגולשים בו משתמשים בטאב אחד. הבעיה הגדולה של CSRF היא מתכנתי web דפוקים שלא בודקים user input ובכך מאפשרים לתוקף להשחיל קוד אשר שואב מידע מהאתר הנוכחי ושולח אותו לאתר זדוני.


ולכן אמרתי

ציטוט:
שבין היתר מאפשרת לאתר מטאב אחד לגנוב את ה cookie של ה user מהטאב השני


לגבי מתכנתים דפוקים - לדעתי אתה טועה אבל בוא לא ניכנס לזה בדיון.
פרופיל | שלח הודעה | חפש
moco (משה)
חבר כבוד
חבר כבוד

הצטרף בתאריך:
  Dec 01, 2004
הבעות תודה: 344
מספר הודעות: 20519

 #17  נשלח: שבת 29/08/2009 23:45

מסכם_עניין כתב:
moco,

csrf הוא בעיה קשה, אתה יכול לקרוא קצת על כך בכתובת הבאה

http://threatpost.com/blogs/defcon-csrf-attacks-ma...

ב IE8 בשילוב עם windows 7 פתרו את זה חלקית, דגש על המילה חלקית.

אתרים שנפגעו מזה:
1. gmail
http://www.securiteam.com/securitynews/5ZP010UQKK....

2. facebook (עדיין פרוץ ל csrf , חובה לראות את הוידאו) לינק:
http://www.thetechherald.com/article.php/200934/42...

3. walla
http://news.walla.co.il/?w=/21/1205252/@@/item/pri...

והרשימה כמעט אינסופית.

אני בעצמי אכלתי אותה בgmail על גבי פיירפוקס, בגלל IE8, וחזרתי לIE7 - ראה http://www.hometheater.co.il/vt91261.IE8-quot-חוסם... .

עדיין לא הבנתי איך זה קשור לגלישה בטאבים, ולמה האחרונה מהווה בעייה חמורה לגולש הביתי.
הנקודה שלי היא שזה יש פרצות במוצר זה לא מספיק בשביל להיות מוגדר כצרה צרורה.
ההסתברות שמשהו יידפק לך צריכה להיות גבוהה.

_________________
משה
פרופיל | שלח הודעה | חפש
מסכם_עניין
חבר פעיל מאוד
חבר פעיל מאוד

הצטרף בתאריך:
  Jan 20, 2008
הבעות תודה: 10
מספר הודעות: 430

 #18  נשלח: א' 30/08/2009 0:09

ל moco ולקהל הקוראים,

moco ביקש לדעת עד כמה CSRF כבר יכול להיות חמור ומה הסיכוי שזה יפגע בנו.

אז כך, אם נתייחס רק לנושא הטאבים ו CSRF:

1. רובנו עובדים בטאבים.
2.כבר התרגלנו לעבוד במספר טאבים בו זמנית
3.בטאב אחד פתוח האתר שחשוף ל CSRF, לדוגמא Facebook.
4.בטאב השני אתם מבקרים בדף של שרשור (דוגמא אחת) שבו אחד הפוסטים מכיל קוד זדוני.

ברגע שנכנסתם לדף של השרשור הנ"ל, שבו הפוסט הזדוני, הותקפתם בלי שתשימו לב ואז:

1. ירד לכם כסף מהבנק (תלוי באפליקציית הבנק ובהרשאות שלכם לפעולות באינטרנט).
2. הפרטים האישיים שלכם מה facebook הועברו למישהו אחר.
3. הפורצים קנו על שמכם משהו באינטרנט

ועוד ועוד - לזה אני קורא צרה צרורה.


הדגמה למה שאמרתי ניתן לראות בסרטון הבא

%3A%2F


נערך בפעם אחרונה על-ידי מסכם_עניין בתאריך א' 30/08/2009 0:46, נערך סך הכל פעם אחת
פרופיל | שלח הודעה | חפש
moco (משה)
חבר כבוד
חבר כבוד

הצטרף בתאריך:
  Dec 01, 2004
הבעות תודה: 344
מספר הודעות: 20519

 #19  נשלח: א' 30/08/2009 0:34

מסכם עיניין,
לא נראה לי שאני מצליח להעביר את המסר.
אתה לא צריך להוכיח שיש אפשרות טכנית לעשות את מה שאתה מתאר, זה לא כל כך חשוב ולא זה העיניין. השאלה היא, כמותית, מה הסיכון האמיתי שהגולש נתון בו.
באנלוגיה, יכולתי עכשיו להוכיח לך שלכייס אותך ברחוב זה גם די קל. האם המסקנה מכך שמסוכן ללכת ברחוב ??

כדי להעריך סכנה פשוט צריך לעשות סטטיסטיקות שלא דורשות כלל הבנה של איך "פורצי הטאבים" או הכייסים עובדים.
1) איזה אחוז מהאנשים מכויסים ברחוב?
2) לאיזה אחוז מהגולשים נגנב כסף בעקבות גלישה תמימה בווב?

למיטב ידיעתי התשובות גם ל1 וגם ל2 מאוד קטנות, ולכן סביר שנמשיך להרגיש בטוח גם בהליכה ברחוב וגם בגלישה ברשת (גם עם טאבים).

כמובן, מי שמתהלך עם 50,000 ש"ח בכיס ינקוט ביותר אמצעי בטיחות מאדם רגיל עם כמה מאות ש"ח בלבד. בדומה, ארגון שהמידע שלו רגיש יותר או בעל ערך יותר, סביר שיתעניין יותר בנושא אבטחת מידע במחשב.
אני מתיחס לגולשים ביתיים רגילים.

_________________
משה
פרופיל | שלח הודעה | חפש
מסכם_עניין
חבר פעיל מאוד
חבר פעיל מאוד

הצטרף בתאריך:
  Jan 20, 2008
הבעות תודה: 10
מספר הודעות: 430

 #20  נשלח: א' 30/08/2009 0:52

moco כתב:
מסכם עיניין,
למיטב ידיעתי התשובות גם ל1 וגם ל2 מאוד קטנות, ולכן סביר שנמשיך להרגיש בטוח גם בהליכה ברחוב וגם בגלישה ברשת (גם עם טאבים).


מה שאתה לא יודע לא פוגע בך...

בוא נסכים שלמרבית האנשים כל עוד לא ירד להם כסף מהבנק לא נגרם שום נזק.
פרופיל | שלח הודעה | חפש
moco (משה)
חבר כבוד
חבר כבוד

הצטרף בתאריך:
  Dec 01, 2004
הבעות תודה: 344
מספר הודעות: 20519

 #21  נשלח: א' 30/08/2009 1:01

מסכם_עניין כתב:
moco כתב:
מסכם עיניין,
למיטב ידיעתי התשובות גם ל1 וגם ל2 מאוד קטנות, ולכן סביר שנמשיך להרגיש בטוח גם בהליכה ברחוב וגם בגלישה ברשת (גם עם טאבים).


מה שאתה לא יודע לא פוגע בך...

בוא נסכים שלמרבית האנשים כל עוד לא ירד להם כסף מהבנק לא נגרם שום נזק.

צודק, אבל בניסוח יותר מדויק: כל עוד המקרים הם נדירים מספיק, אפשר באופן מעשי להתעלם מהעיניין.
הרי אנחנו עושים את זה בכל תחום בחיים. אם אינך היפוכונדר אתה לא מסתובב כל היום מודאג ממחלות נדירות (אולי ממחלות לא נדירות דווקא כן). מעבר לכך, אנחנו מסכנים לא פחות משלמות גופינו ואף את חיינו בכל פעם שאנחנו נכנסים לרכב וכנראה לא במידה שהיא קטנה בהרבה או קטנה בכלל מהסיכון לכספינו בגלישה בטאבים.
כמובן, אנשים שמתפרנסים מנושא אבטחת המידע עלולים להציג את הדברים באופן מאיים בדיוק כמו שסוכני ביטוח אוהבים להפחיד את לקוחותיהם.

_________________
משה
פרופיל | שלח הודעה | חפש
sysme
חבר שרק התחיל
חבר שרק התחיל

הצטרף בתאריך:
  Aug 30, 2009
מספר הודעות: 1

 #22  נשלח: א' 30/08/2009 14:35

מסכים עוד בלי לקרוא הכל! אנשים לא מבינים באמת מה המשמעות של אבטחה אמתית.
בתור בוגר קורס MCITP
http://www.omegaisrael.com/content.php?id=25

(ועבודה בתחום) אני יודע טוב מאד שחברות מעדיפות לפתח היום ישומים עבור IE לדורותיו תוך ניצול יכולות האבטחה שלו[/b]
פרופיל | שלח הודעה | חפש
oferlaor (עפר לאור)
מנהל
מנהל


הצטרף בתאריך:
  Nov 10, 2004

מיקום: מודיעין, ישראל
הבעות תודה: 3764
מספר הודעות: 69503

 #23  נשלח: א' 30/08/2009 15:28

sysme,

אני טועה, או שהכנסת כאן פרסומת לקורס בקטנה?

_________________
נודה לכם אם לא תשתפו את מחירי הקניות הקבוצתיות בכדי שנוכל לקיים עוד כאלה בעתיד
פרופיל | שלח הודעה | חפש
כל הזמנים הם שעון קיץ - ישראל (GMT+3) הצג הודעות קודמות:    
פורומים > אינטרנט - ספקים, תשתית, סיבים fiber עבור לעמוד הקודם  |  1  |  2 


  
    שם משתמש:
נתוני כניסה לכל אתרי HT:

  סיסמא:
 

  


 | 

קפוץ אל: 
לא ניתן לשלוח הודעות בפורום זה
לא ניתן להגיב להודעות בפורום זה
לא ניתן לערוך את הודעותיך בפורום זה
לא ניתן למחוק את הודעותיך בפורום זה
לא ניתן להצביע לסקרים בפורום זה
לא ניתן לצרף קבצים בפורום זה
לא ניתן להוריד קבצים בפורום זה

תקנון / תנאי השימוש באתר צור קשר / contact us כל הזכויות שמורות לקבוצת ht