Přihlásit se

Vážná chyba v prohlížeči Edge: Útočníci mohou zobrazit falešné upozornění

Můj názor | zobrazit i odpovědi (trvale) | řadit od nejstarších Komentáře nyní řadíme od nejnovějších.
Tímto odkazem můžete řazení změnit. | nových názorů: 18

Názory k článku

Gaspadlo

14. 12. 2016 15:49

Tak už to chápu - script specifický pro zobrazení upozornění, se dá provolat z jakékoliv HMTL DOM. Takže to můžou opravit zakázáním volání té js funkce s původem mimo jádro prohlížeče samotného. Čož je docela hloupá chyba, že se to dá takhle snadno spoofnout.

Souhlasím | Nesouhlasím | Odpovědět

lemming

14. 12. 2016 13:00

Vůbec mě to nepřekvapuje. Nedávno jsem narazil na chybu v Edge i já - když jsem v onBlur handleru na vstupním poli změnil CSS třídu na tagu, tak se při přechodu mezi políčky Edge dostal do nějakého divného stavu kdy políčko jako by bylo focusnuté ale vlastně nebylo. Když pak člověk začal psát na klávesnici, tak Edge spadnul a reloadnul stránku. V ostatních prohlížečích to fungovalo bez problémů, dokonce i v IE.

Souhlasím | Nesouhlasím | Odpovědět

kazeasch

14. 12. 2016 11:51

Jak přesně by mělo dojít ke spuštění JS nad webem, který je správně odolný proti XSS?

Souhlasím | Nesouhlasím | Odpovědi (7)

kazeasch

14. 12. 2016 12:03

Heh, zive.sk má hlavičku X-XSS-Protection a zive.cz ne. Náhoda?

Souhlasím | Nesouhlasím | Odpovědět

Jaroslav Bereza

14. 12. 2016 18:55

Možná české živě je zapojené do jiných reklamních systémů, které jim bez toho nefungovali.

Souhlasím | Nesouhlasím | Odpovědět

lemming

14. 12. 2016 12:53

No přece chybou v Edge, o které je ten článek, Plho!

Souhlasím | Nesouhlasím | Odpovědět

kazeasch

14. 12. 2016 13:10

Článek je o javascriptu který zobrazí dané okno, ale ne o tom jak by měl být spuštěn. A pokud je web správně zabezpečen proti XSS, tak nad ním cizí script jen tak nespustíš. A pokud zabezpečen není, není to problém Edge a navic, pomocí CSS se kradou celé session, což je větší problém než nějaká hláška která se zobrazí právě pokud má prohlížeč podezření na XSS. Takže vse vlastně vede jen k tomu, že i zabezpecený web můžu označit za napadený. Ale to by pro uživatele měl být jedině signál z něj ihned odejít.

Souhlasím | Nesouhlasím | Odpovědět

kazeasch

14. 12. 2016 13:12

Pardon za překlep. Ne pomocí CSS ale pochopitelně XSS se kradou session...

Souhlasím | Nesouhlasím | Odpovědět

kazeasch

14. 12. 2016 14:18

Aha, už to chápu. Jde zkrátka jen o zobrazení nativní šablony. Takže prostě úplná blbost a ne bezpečnostní chyba. Úplně stejně můžu tu stránku jen zkopírovat a podvrhnout text do url taky není problém.
Takže nakonec jde o úplně obyčejný phishing, a nejdřív musim blbce přimět jít na podezřelou URL. Tedy žádné nové riziko, které by s jiným prohlížečem nešlo.

Souhlasím | Nesouhlasím | Odpovědět

Gaspadlo

14. 12. 2016 15:23

Taky mi to tak přijde.

Souhlasím | Nesouhlasím | Odpovědět

Pavel Černík

14. 12. 2016 10:31

Pokud můžete do kódu stránky nacpat JS který toto provádí, pak můžete uplně stejným způsobem dané stránce upravit DOM přímo a nahradit jej stejným hlášením jako je to smartscreenové.
To se pak samozřejmě dá cílit i na jiné prohlížeče než jen Edge.

Souhlasím | Nesouhlasím | Odpovědi (7)

lemming

14. 12. 2016 12:57

Princip chyby je v tom, že takhle jdou ovlivňovat i jiné stránky.

Souhlasím | Nesouhlasím | Odpovědět

kazeasch

14. 12. 2016 14:27

Ne, nejdou. Po projití zdroje je zřejmé, že to jen vyplní šablonu PhishSiteEdge.htm že složky ErrorPages na disku.
Takže ekvivalentu jde dosáhnout v libovolném prohlížeči, byť to budeš kódovat o minutu dyl a možná bude třeba originální chybu zkopírovat.

Souhlasím | Nesouhlasím | Odpovědět

lemming

14. 12. 2016 15:09

Tak mi schválně, jak jde třeba v Chrome dosáhnout toho, že mám zobrazenou tuhle chybu a přitom v adresním řádku mám adresu jiného webu?

Souhlasím | Nesouhlasím | Odpovědět

Gaspadlo

14. 12. 2016 15:25

http://stackoverflow.com/questions/824349/modify-t... ...

Souhlasím | Nesouhlasím | Odpovědět

Gaspadlo

14. 12. 2016 15:36

Oprava: tohle je asi případ pouze stejné domény.

Souhlasím | Nesouhlasím | Odpovědět

lemming

15. 12. 2016 07:10

No právě. Ukázat svůj obsah tak, aby byla v adresním řádku jiná doména normálně nejde a je to důležité bezpečnostní opatření - doteď platilo, že jaká doména v řádku je, tu uživatel vidí. Tohle lze s využitím chyby v Edge porušit. Jediné štěstí je, že i pokud dám do URL https, tak se mi neukáže se zeleným zámečkem ale jako kdyby to bylo http.

Souhlasím | Nesouhlasím | Odpovědět

Gaspadlo

14. 12. 2016 15:27

Přijde mi to jako BS mířený zase na prohlížeš od MS... Ne že bych ho aktivně používal (na tabletu ano, protože je prostě úspornější - akorát od nových verzí Chrome, to možná nemusí být pravda), ale tohle nadávání na MS za každou cenu, už je trochu přes čáru.

Souhlasím | Nesouhlasím | Odpovědět

Zasílat názory e-mailem: Zasílat názory Můj názor