České freemaily nejsou bezpečné!

Zaujímavá by bola takáto skúška slov. freemailových serverov...

hmmm. také pracuji pro více médií i vydavatelství (volný novinář), ale udat jedno téma dvěma různým, na to bych asi neměl žaludek...

Viz. Computerworld 2/2002 str 8

Vojtěch

http://vojtech.hyperlink.cz

Jsem rad, ze jste si vsimnul meho Komentare v casopise Computerworld. Jedna se zde vsak o mensi nedorozumeni. Samozrejme vim, ze autorska smlouva me zavazuje nepublikovat dilo publikovane v jednom medii i v jinem do vyprseni urcite lhuty (obvykle v radu nekolika let).

Na Zive.cz byla zverejnena moje tiskova zprava o pruniku a jeho podrobny popis. Tiskova zprava je jiz z vlastniho principu zasilana vice mediim. Podrobny popis pruniku jsem zverejnil na svych WWW strankach a dal komukoliv svoleni k pretisknuti textu v nezmenene podobe. Za publikovani tiskove zpravy ani podrobneho popisu jsem od Zive.cz neziskal zadny honorar. Tiskovou zpravu jsem jim zaslal emailem, stejne jako jinym mediim, a podrobny popis si uz nasli a zverejnili sami.

V casopise Computerworld mi vysel Komentar na stejne tema, ovsem napsany jenom a pouze pro Computerworld, sity namiru jeho ctenarske obci, ale se zdravou mirou zobecneni a zjednoduseni. Cely tento komentar je puvodni dilo, ktere jsem slovo od slova napsal pouze pro Computerworld, nevznikl tedy upravou ani kracenim jineho meho clanku. Za tento komentar honorar dostanu, ale podle toho se samozrejme budu i chovat a komentar se nikde jinde neobjevi (narozdil od tiskove zpravy a podrobneho popisu, ktere jsou volne siritelne).

Verim, ze jsem Vam vse vysvetlil a nyni uz chapete, ze jsem neudelal nic nespravneho, kdy by doslo k poruseni autorske smlouvy nebo dobrych mravu. Samotne zverejneni informaci o jednom tematu ve vice mediich nepovazuji za nic spatneho, je prirozene, ze o zajimave veci chce psat vice medii. Pokud nedojde k poruseni autorskych smluv a autor neziska vice honoraru za stejne dilo, neda se zde myslim mluvit o zadne drzosti.

Marek Blahuš

ahoj

Do pr... , taky se vám otočí okno když si necháte vypsat všechny příspěvky? Zas tu řádil nějaký vtipálek...

ahoj

Díky Marku za tento článek. Nezbývá mi než konstatovat, že freemailové služby jsou dosti často službami medvědími. Není to pouze otázka bezpečnosti. Jedná se také o nechutné spamy serveru www.email.cz, který se nestydí rozesílat reklamní spamy polského podvodníka slibující nereálné sexuální nesmyslnosti za účelem vymámení nemalé finanční částky z uživatelů serveru email.cz. Dále je otřesná roky trvající pomalost serveru post.cz atd.atd...
Nejlépe je asi používat firemní mailové účty nebo v Tvém případě školní (...@guh.cz). Ani to však není zcela bezpečná záležitost, protože v minulosti jsem již zažil u některých zaměstnavatelů, že správci sítě měli za úkol číst lidem maily a případně donášet řediteli...

Radek Jež
programátor
SGS a.s.
Uh. Hradiště

Já myslím, že nejlepší je číst maily přes ssh z nějakého unixu (viz třeba http://www.arbornet.org) Tím se jednak zvýší bezpečnost před zvědavci, kteří touží číst cizí poštu a také je to prakticky 100% ochrana před viry.

moc libil, Marek si dal tu praci, ze bezpecnostni diru, o ktere se dozvedel, vyzkousel na vsechny nase velke free-maily a udelal to dost peclive - nenechal se odradit vetsimi, ci mensimi prekazkami a uspesne je vsechny zdolal. naprosto se mi nelibi nazory typu - jedna se o trestnou cinnost, nedal serverum dost casu na opravdu apod. pouzil standardni postup a hlavne (!) informoval vsechny (kteri ten clanek pochopili), o tomhle zajimavem nebezpeci. taky se mi nelibi nazory typu - stejne tam nic dulezityho neni... o to prece nejde, jde o bezpecnost. tak bud ji tam mam (autentifikace) a pak musi mit smysl, nebo ji mam deravou a pak ponekud smysl postrada...

Takhle jednou jsem si chtel zaridit na jednom freemailu hezkou schranku, ale byla obsazena. Co delat? No, rikal jsem si, zkusim otazku "pri ztrate hesla". Zeptalo se me to na hl. mesto Ruska, coz jsem jen tak z hecu zkusil odpovedet. Kupodivu to fungovalo.

Nejakej cas jsem proto tu schranku sledoval a kdyz jsem zjistil, ze tam chodi porad jen same porno z LEO.CZ a ze neni temer vyuzivana, napsal jsem webmasterovi, ze jsem zapomel heslo a ze otazka je ta a ta a odpoved tahle. Druhy den me prisel mail s nove nastavenym heslem.

Samozrejme ze je hlouposti uzivatelu si davat takove otazky (presto podobne fungujici otazky najdete tak na 30% schranek), ale vice zarazejici je ochota, s jakou vam webmaster zmeni heslo na pozadani. Troufam si rict, ze by se to mohlo podarit i po nejakej srdcervoucim mailu, kde by napriklad bylo, ze jsem strasny zapometlivec, prisel mne dulezity mail, kde jde o zivot atd.

Dalsich 10% schranek ma stejne login jako heslo atd.

Pri proste matematice za chvili dojdete k tomu, ze vymejslet podobne finty jako autor clanku je mrhanim casu a heslo drive uhodnete nebo vam ho sami nastavi webmasteri.

Tydlifon.

... hlavně proto, že je nestandardní.

Než znovu zprovoznili diskuzi, tak jim to chvilku trvalo, ale dost mě překvapilo (a nasr...) že smázli diskuzi z poradny, kde jsem se na ni ptal.

Sorry nesmázli, blbě vidím

*********************************************************************************************

a tož sem jen (S)prosty uživatel, tak by mě zajimalo, co to znamena  to BTW

*********************************************************************************************

                                         D ! K

                                mAXipESFik

BTW = mimochodem

pro nazornost uvadim par casto pouzivanych zkratek FAQ Frenquently Asked Questions často kladené otázky
AKA Also known as také znám jako
BTW By The Way mimochodem
FYI For your information pro tvou informaci
IMHO In my humble opinion dle mého skromného/upřímného názoru
N/A Not Available není k dispozici
RTFM Read The F*cking Manual prečti si zasr* manuál

Následující zkratky jsou sice používány, ale vzhledem k tomu, že pocházejí z angličtiny, tak je jejich rozšíření v české komunikaci skromné. (seznam není úplně dobrý, pokusím se ho doplnit) AFAIK As far as I know podle toho, co vím
AKA Also known as také znám jako
ASAP As soon as possible jak jen to bude možné
BBL Be Back Later vrátím se později
BFU Bloody Fucking User příšerný uživatel (Běžný Franta Uživatel)
BFN Bye For Now zatím čau
BRB Be Right Back hned jsem zpět
BTW By The Way mimochodem
CAD Control-Alternate-Delete CTRL+ALT+DEL
or Computer Aided Design nebo design s pomocí počítače
CUL8R See you later! uvidíme se později
FMPOV From my point of view z mého pohledu
FUBAR "Fixed" Up Beyond All "opraveno" dle všech známých projevů
Recognition
FYI For your information pro tvou informaci
Flame silná kritika
FWIW For What It's Worth za co to stojí
g grin úsměv, úšklebek - obvykle psáno nebo [g]
HSIK How Should I Know jak jsem měl vědět
H!WYM Hey! Watch your mouth! Bacha co říkáš! Dávej si pozor na pusu.
IAE In Any Event v každém případě
IANAL I Am Not A Lawyer nejsem právník
INAL I'm Not A Lawyer nejsem právník
IOW In Other Words jinými slovy
IMHO In my humble opinion dle mého skromného/upřímného názoru
IMO In My Opinion dle mého názoru
JFYI Just For Your Information jen pro Vaši informaci
L8R Later později, uvidíme se později
LMAO Laughing My Off
LOL Laughing Out Loud
LTNC Long time no see! dlouho jsme se neviděli
NBD No Big Deal žádnej problém
NOYB None Of Your Business
OIC Oh, I see! Aha!
OTL Out To Lunch jsem na obědě
OTOH On the odher hand na druhou stranu
PITA Pain In The A** "osina v p*deli"
PMFJI Pardon Me For Jumping In
PMJI Pardon My Jumping In
PTB Powers That Be
RGRDS Regards s pozdravem
RNA Ring, No Answer zvonek, žádná odpověď
(communication or (výraz pro komunikaci i telefonování)
telephone term for a problem)
ROFL Rolling On Floor Laughing
ROTF Rolling On The Floor válet se po zemi (sudy)
ROTF,L Rolling On The Floor, Laughing válet se po zemi, smát se
RSN Real Soon Now teď skutečně brzy
RTFM Read The Fine Manual prečti si manuál
SL Section Leader vedoucí oddělení
SNAFU Situation Normal, All "fixed" Up situace normální, vše "opraveno"
Soapbox následuje osobní názor, možná i předpojatý
SWAK Sealed with a kiss spečetěno polibkem
Sysop Systems Operator; systémový operátor, osoba řídící debatu
person who manages a Forum
TANJ There Ain't No Justice není tam žádná spravedlnost
TANSTAAFL There Ain't No Such Thing není nic takového, jako oběd zadarmo
As A Free Lunch
TIA Thanks In Advance děkuji předem
TIC Tongue In Cheek
TPTB The Powers That Be
TSR Terminate and Stay Resident ukončený program, který zůstane v paměti aktivní
TTFN Ta Ta for now zatím pa, pá...
TTYL Talk To You Later promluvíme si později, zatím čau
TXNS Thanks díky
W84ME Wait for me pockej na mě
WOA Work Of Art umělěcké dílo
WTH What The H--- k sakru
WRT With respect to s ohledem na
WYSIWYG What you see is what you get co vidíš, to dostaneš (na tiskárně)
Enjoy!!! ThUnDer (DJ Moonlite)

Konecne rozumne informace

Je to správný že jste to tady uveřejnily, mi hackeři (vpravým smyslu slova) se zajímáme o bezpečnost docela hodně a tak nás zaráží lidi co na bezpečnost vůbec nehledí. A myslí si že je to jedno a dávaj si hesla jako svoje jmena a podobný lehký. Měli by se nad sebou zamyslet a zajímat se trochu víc o bezpečnost. Pokud někoho zajímá jak se dá prolomit heslo a jaký zvolit co nejbezpečnější heslo tak ať zajde na http://hackchat.podebrady.net a může se dozvědět víc

mno na emailu se da taky zapnout IP .............BTW. ale proc to delat slozite kdyz to jde, jak uz tu negdo rek, pomoci metody pokusu a omylu......................... pro zajimavost  husa@seznam.cz login husa :))))........slapky maj negdy dobry jmena! :))

takze ten velky hacker co objevil pruniky pres session id..

ma jen nekolik let zpozdeni..

a ja cekal kdo vi co..

Na to, ze hackerovi je teprve patnact, tak to neni spatne... Nejak se zacit musi...

TEST

inputBOX("TEST")

Uzasne, hned jak to vyslo na SVET NAMODRO, tak se probudili i na ZIVE... NO A CO ???? ja neposilam tajne dokumenty do Pentagonu, vetsina lidi uvadi do freemalu stejne nesmysly.. o co jde ???

Clanek mi pripada velmi zajimavy, jen nevim, zda se da verit tomu, ze nedochazi ke kontrole IP adres. A pak by me jeste zajimalo, pochopte, jsem jenom blba zenska bez technickeho vzdelani. Kdyz uz nekomu vlezete do mailu, muzete vlezt do Nastaveni a podivat se, jake ma heslo? Protoze pak by bylo jedno, ze dal majitel schranky pozadavek na ukonceni prace. Proste se prihlasite,... Co myslite? Diky. Lucie

na tvoji otazku si muzes jednoduse odpovedet sama. zkus se kouknout nastaveni z zjistit z nej svoje heslo - email.seznam nepouzivam, ale myslim, ze to mozne nebude ;).

Dobre, mas pravdu, heslo nevidis, ale vidis bezpecnostni otazku a odpoved na ni Jak rikam, jsem jen blba technicky nevzdelana zena, ale nestaci pak napsat adminovi, ze jsem zapomela heslo, napsat otazku a odpoved....?

Err, mno, tak tzv. bezpečnostní otázka je to poslední, co bych při vytváření účtu zadal.

Ke kontrole IP adres opravdu nedochazelo - u Seznamu a Atlasu nikdy. U Emailu.cz se da pri prihlasovani zapnout, ale defaultne byla vypnuta, u Postu se da pri prihlasovani vypnout, ale defaultne je zapnuta, u Centra se da vypnout, ale pouze v nastaveni, po registraci je zapnuta. Ale kontrola IP adres nic neni, to se da obejit skriptem stahujicim stranky z uzivatelova pocitace - viz clanek.

Co se tyce moznosti zjisteni hesla, to uz tu bylo zodpovezeno, je takto opravdu mozne ukrast si celou schranku "pro sebe" - zneuzitim kontrolni otazky a odpovedi.

Marek Blahuš

Pokud jsem ten článek správně pochopil, musel autor u všech svých pokusů html stránku se scriptem otevřít jako každou jinou přílohu (třeba obrázek). Potom je to vše bezpředmětné, protože to funguje na stejném principu jako jakýkoliv jiný vir. A když je pak uživatel neopatrný, buď zjistí ostatní jeho údaje nebo se mu zaviruje comp. Taky to předpokládá, že útočník obdrží mail v době, kdy je napadený připojený ke schránce a neodhlásil se. Jinak se tato adresa generuje znova  

Ne každý freemail zobrazuje HTML zprávu jako přílohu. Centrum a Email zobrazovali HTML kód ihned po otevření zprávy, takže stačilo zprávu otevřít. Post.cz k otevření zprávy uživatele sám vyzíval (textem "viz příloha"), i ostatní servery ale zobrazovali HTML kód jako přiloženou HTML stránku. A pokud i uživatel ví, že jsou nějaké přílohy nebezpečné, tak HTML mezi ně (alespoň zatím) nepatří, takže se zase tak zdráhat kliknout na přílohu nebude. Vyzkoušeno na uživatelích

Neni nad nazornou ukazku!

%

Redirekt:

xxxxxxxxxxxxxxxx

myslim ze zbytecne strasite lame ctenare zive, proto myslim, ze by ten prispevek mel byt vyrazen....

souhlas.
Ale ten fwd bych vyradil drive.

A myslíte si, že se musím vyznat ve všem, co se v počítači děje, pokud jsem "jen uživatel" a má odbornost je jiná? Teď jsem po dlouhé době komplet přeinstaloval počítač a hleděl jsem, co znamená to okénko hckd (zapomněl jsem si nastavit ty věci kolem skriptů). Kde bez velkého hledání najdu ucelené informace (pro toho, kdo se neživí přes IT, ale počítač jen používá k jiným činnostem), jak nastavit programy a co vše udělat pro co největší bezpečnost při co nejlepší funkčnosti? A co znamená to "lame čtenář"?

xxxx

very nice!

huh
Dekujeme za obnoveni funkcnosti diskuse

Z vlastni zkusenosti vim, ze session a kontrola IP adresy jsou v urcitych pripadech zcela nepouzitelne. A pokud se podivate na to, jak je tvorena napr. v ASP session, doctete se, ze je to prave na zaklade posilani specialnich cookies. Problem nastava, kdyz nektere podnikove firewally session nepusti nebo pane boze rozdeluji pozadavek mezi nekolik IP adres. To je pak uz takovy hrozny gulas, ze jsme pred casem museli take vse predelat.

asi bych jim doporucil vybrat si zpusob autentifikace ( session, IP, hash v GET nebo neco jineho )

Wizi

No HTTP protokol je bezestavovy a na udrzovani session proste neni delany. Proto reseni zajistujici tuto funkcionalitu je ponekud neobratna a netrivilani a je potreba si je poradne rozmyslet, Nicmene lze to zajistit bezpecne, ale musi se u toho myslet, pouziti sifrovaneho HTTP (HTTPS) je zaklad. pokud tomu tak neni, nedelejte si jakoukoliv iluzi o bezpeci. Takovym zakladnim pravidlem je poziti webmailu jako krajniho reseni, kde proste muze byt problem z bezpecnosti.

Tehle článek mě zaujal. Ale ona bezpečnost mailů "normálních" lidí by byla malá tak jako tak. Máme s kamarády malý server, kde se nám lidi registrují (aby si pak mohli zahrát šachy) a zadávají hesla. Myslíte si, že zadávají různá hesla na e-mail a u nás? Kdybych se uspokojoval čtením cizí pošty, tak bych si docela užil...

Ukladat hesla v nezasifrovane podobe muze jenom prase. Prave z toho duvodu, co jste zminil - je potreba pocitat s lenosti uzivatelu a moznosti kompromitace vasi vlastni databaze. Staci na hesla pouzit obycejnou jednosmernou funkci (treba MD5) a je klid....

Jak udelate funkci "Zaslat zapomenuty email", kdyz je budete ukladat sifrovane?

Jednoduše - vygenerovat nové heslo, zaslat jej na email a zašifrované uložit do databáze. Nebo udělat pomocnou dvojici typu "nápovědná otázka a heslo", kdy heslo taky uložíš zašifrované a když správně odpoví, tak mu umožníš korektní přihlášení. Ale nejbezpečnější je ta 1. varianta.

To neni vubec zadne prakvapeni. I kdyby tohle nebylo, stale vas mail putuje jako otevreny text pres dalsi mista.

Jedina mozna ochrana duvernych mailu je sifrovani. Pro ty, kteri se o sve maily staraji, tohle nic neznamena. Pro ty, kteri na ne kaslou, dobre jim tak.
Naucit se a nainstalovat PGP/GPG je otazka par hodin. Odkliknout ,,zasifrovat'' je otazka nekolika sekund. Kdyz na to nekdo kasle, neni mu pomoci.

Proto lidi *prosim* sifrujte. Neni to pro teroristy nebo pro nejake podvratne zivly, to je uplne uplne normalni vec kazdodenniho zivota a vzhledem k povaze mailu jako technologie by mela byt kazda zprava duvernejsi nez verejna nebo ,,je mi to celkem jedno'' sifrovana.

Na internetu existuje kupa navodu. Sam jsem jeden cas vedl serial na novinky.cz, ktery vysvetloval vse od zacatku do konce. Je to tam k nalezeni pod autorem Hynke Hanke. Takovych navodu je ale spoustu. Che to jen chtit.

Sifrovat?

1. Strasna prace
2. Nevim, jak se PGPuje mail pri cteni / odesilani v Netscape

Cili - radsi si vypnu ten javascript..

Nehlede na to, ze jestli si chce nekdo precist mou postu, tak at si to uzije, nota bene pokud je to clovek, ktery me vubec nezna. Nakonec heslo stejne chodi nezasifrovane, takze si ho muze sosnout kterykoli spravce nekde na ceste...

Bohuzel, temer vse co jste napsal, je spatne.

Dovolte mi to opravit, abyste zbytecne nematl ostatni.

ad. strasna prace -- v rozumnych email klientech (a mezi ty pocitam i MS Outlook, Netscape Messanger) je to zalezitosti stisku jedne klavesove zkratky.
ad. nevim jak se (de)PGPuje mail pri cteni v Netscape -- automaticky.
ad. vypnuti javascript... -- Vam jiz ze samotne podstaty technologie e-mailu vubec nepomuze. Toto se nazyva ,,falesny pocit bezpeci''.
ad. heslo se posila nezasifrovane -- jiz par *desitek* let nastesti ne. Rika se tomu asymetricka kryptografie.

Opravdu Vam doporucuji precist si vyse zmineny serial ci jiny material.

No, ja se obavam, ze VY byste si mel precist clanek, o nemz se bavime. Jde zde o cteni mailu PRES WWW ROZHRANI, takze nejake Outlloky ci netscape messengery sem prosim neplette.

ad. strasna prace - 1. vygenerovani klice, 2. nastaveni maileru (dejme tomu, ze pouzivam mailer a ne www), 3. (HLAVNE) - donuceni vsech okolo, vcetne treba obchodnich partneru, ktere jsem zatim nekontaktoval apod., aby PGP instalovali tez... CHA CHA CHA, uz to vidim...

ad. netscape a PGP - jeden o voze, druhy o koze - nechci snizovat moznosti netscape, ale ze by dePGPoval mail, ktery ctu treba na centru pres web? Mozna leda nejak pomoci obsahu okna, ale to se mi nezda prilis trivialni... O tom jsem mluvil, ne o tom, ze by to nebylo trivialni v maileru, ten je na to staven...

ad. vypnuti javascript - to samozrejme funguje proti danemu typu utoku, ktery je v clanku popsan

ad. heslo nezasifrovane - asymetricka kryptografie? Jo, neco o tom vim, uz par let... Ale ta porad neresi problem freemailu pres WWW rozhrani :^( Holt asi nechapete, o cem mluvim. Jde mi o to, ze pokud se prihlasim pres formular do mail sluzeb napr. seznamu, tak heslo, kterym se prihlasuju, muze kdokoli po ceste, kdo ma dostatecne opravneni, muze bez problemu vysniffovat, neb je nezabezpecene. Leda by se pouzivalo SSL (jedna z voleb napr. centra), to je vase oblibene asymetricke kryptovani...

pokud by mi tu nekdo chtel teoretizovat s tim, ze nemam pouzivat www rozhrani, ale radsi misto toho pop3, tak na to muzu odpovedet, ze jsou alespon dva duvody, proc to nejde:

1. (u me): firewall (a co ted, doktore?)
2. (taky u me): kdyz si chci precist postu odjinud nez normalne (coz se mi stava dost casto), musel bych nastavovat mail klienta napr. v inetove kavarne, coz si nejsem jist, zda se tam vubec smi...

Autor se vlastne priznava, ze je hacker - nejen se priznava k trestne cinnosti, ale krome upozorneni spravcu serveru nedela nic pro jejich ochranu. Zverejnenim navodu, jak cist soukrome informace, pouze prispiva k bulvarnimu charakteru serveru www.zive.cz.

Zverejnovani popisu chyb po predchozim upozorneni adminu je naprosto normalni a zasluzna cinnost. Co na tom vidite spatneho a bulvarniho?

Snad si take myslite, ze chyby je nejlepsi utajovat, ze si jich *snad nikdo nevsimne*? Ale pane, takhle bezpecnost nikdy nefungovala a kdykoliv se to zkokuselo, tak ten pokus zkrachoval.

Chyby musi byt (rozumne, po upozorneni adminu) zverejnovany, aby si na ne dali dalsi admini pozor. Jinak o nich budou vedet jen crackeri (nemotejte do toho hackery, proc by asi hackeri cetli cizi maily???) a to je zle.

Zasluzna cinnost by to byla, pokud byste nepopisoval chyby a nedaval navod k trestnemu cinu. Nikdy jsem netvrdil, ze se maji chyby utajovat - vybral jste si jen cast z meho prizpevku.

Vadi mi:

1. ze jste nedovolenym zpusobem vnikl do systemu

2. presne jste popisoval a tak daval i navod k trestnemu cinu (i kdyz ne konkretni osobe, ale vsem)

3. nedal jste administratorum dostatek casu na reakci a opravu (program nebo system, ktery je naprogramovan jednim programatorem a pouzivan v omezenem meritku, take muze dotycny zmenit za nekolik hodin (zalezi na zmene) a nasadit. Tohle neplati u vetsich systemu, kde je prace sdilena celym tymem. System se pak musi testovat a nasadit, jen kdyz je rozume zarucena jeho funkcnost).

Nevadi mi:

1. zverejnovani chyb

Honza

mozes mi pls povedat ako prenikol do systemu? Alebo co urobil protizakonneho? Ze ziskal pristup k svojmu emailovemu accountu inou cestou ako je to obvykle? To neni dokonca ani neeticke a nieto uz protizakonne

Keby sa autor priznaval k trestnym alebo neetickym cinom tak si myslim ze tvoja reakcia by bola namieste ale takto si do toho dal trosku vela emocii....

Je stejne, jako by jsi rikal, ze jsi se prochazel ve tri hodiny rano v Narodni galerii jen proto, ze nejaky zamestnanec zapomenul vecer zamknout dvere. Kdyz neco takoveho uvidim, upozornim prece majitele a nezneuziji to k mym prochazkam. A kdyz me nechyti, tak jsem OK.

Myslim, ze jeho cin minimalne neeticky byl - hlavne diky tomu, ze zverejnil navod a nedal dostatecny cas na odstraneni zavady.

Presnejsi analogie by byla, kdyby se s pouzitim spendliku vloupal do _svyho_ zamcenyho bytu, na problem se zamkem upozornil vyrobce zamku a pote, co se nic nedelo, tuto informaci zverejnil. IMHO ani jedna z techto casti neni ilegalni, a neeticka je tak nanejvejs ta cast se zverejnenim - ale zalezi na uhlu pohledu, osobne povazuju za dulezitejsi to varovani, ze to jde probourat tak jednoduse, ze to zvladne i amater, nez moznost, ze to nekdo zneuzije.

Tohle nebylo amaterske probourani. Amaterske mozna pro ty, co se vyznaji v html, ale ne pro bezne uzivatele.

Je to sama, pokud pouziji analogii Narodni galerie, jako kdybych objevil otevrene dvere ve tri hodiny rano a upozornil na to spravce. Spravce mi rekne (Post.cz), ze chybu opravi - ale ze drive nez rano to nestihne. Pockam tedy do rana, az je chyba opravena, pak zacnu zverejnovat, co se stalo. Kdyby rano chyba opravena nebyla, doporucim majitelum exponatu, aby si je prenesli do jineho muzea.

Clanek byl podle teto analogie zverejnen ve 4:00 rano. Dusledek bude, ze se o chybe dozvi a idalsi lide a budou chodit nad ranem do galerie - udelam tak medvedi skuzbu.

Tohle nebylo amaterske probourani. Amaterske mozna pro ty, co se vyznaji v html, ale ne pro bezne uzivatele. Promin, ale to, ze se beznej uzivatel neobtezuje s naucenim se zakladu prace s internetem prece neni vina "hackera". Stejne jako v realnym svete - pokud budu chodit po ulici, aniz bych predtim venoval trochu casu na nastudovani dopravnich predpisu, tak se taky nemuzu divit, az me neco prejede...


Jinak pokud jde o tu opravu - nevim, jestli autor nechal firmam dostatek casu. Osobne bych rekl, ze ano, protoze oprava zrovna tyhle chyby je zalezitosti plus minus jednoho radku kodu, a uprimne receno je natolik hloupa a soucasne zavazna, ze si za ni jeji tvurce ochranu nezaslouzi. Nechavat jim na ni dva dny mi prijde skoro hodne.

Html maily nejsou zalezitosti beznych uzivatelu - ti pisou meily tak, jak je nastaven jejich postovni klient. Vetsina uzivatelu, ktere jsou potkal, a u kterych neni VT jako konicek nebo prace ani nevi, jak nastavit barvu pisma ve Wordu. Samozrejme, ze to neni chyba toho, co teto chyby zneuzije, ale neni to ani duvod, aby chyby zneuzival. A daval navod ostatnim pred opravou chyby.

Pokud oprava je zalezitosti jednoho radku, proc to reseni nenabidl autor spravcum? Neverim ale, ze by si spravci dovolili pustit verzi, která nebyla radne otestovana. Proto je to nedostatecny cas.

Ten jeden radek bude spravce serveru vymejslet asi tak minutu, dalsi minutu mu potrva, nez to dotycny misto najde, a do peti minut to ma otestovany. Nereknu, pokud by slo o chybu, ktera vyzaduje zmenit strukturu poloviny databaze a dopsat tri tisice radek kodu, ale pokud je to chyba naprosto elementarni a svou blbosti v podstate srovnatelna se situaci, kdy by server prenasel login a heslo nezakodovany v URL a jeste zobrazoval titulek "Posta: Prihlasen uzivatel X s heslem Y", tak si nezaslouzi toleranci.

Uzivatel sice mozna nemusi nic vedet o HTML mailu, ale mel by neco vedet o bezpecnostnich rizicich na internetu a moznosti, jak se pred nima chranit. Stejne jako by mel vedet, ze ten cervenej panacek na semaforu znamena, ze si ma davat pozor, aby ho neco neprejelo. Pokud to nevi, je to pouze a vyhradne jeho problem. Nadavat pak muze jen sam sobe.

Co kdyz to ale nelze pouzit vami navrhovane reseni? Napr. spravce serveru vi, ze uzivatele pouzivaji jeho freemail proto, ze umoznuje zobrazovat maily s html kodovanim a umoznuje take spoustet scripty. Pokud ted navrhovane reseni je zakazat sciprty, je to pro spravce neprijatelne a bude hledat jine, treba pracnejsi reseni.

Uzivatel by mel vedet o bezpecnostnich rizicich, to je pravda. Uzivatel se pred takto publikovanou chybou muze branit jen tim, ze prejde na jiny freemail, nema moznost sam chybu opravit. Asi ta chyba existovala na servrech uz od zacatku nebo minimalne pekne dlouho - proto je nevhodne zverejnovat navod na jeji vyuziti v neumerne kratke dobe po jejim objevenim.

Stejne by bylo, kdybyste objevil, ze u vaseho domu neni zamek v poradku a dvere se tak nedaji zamknout. Zavolal byste majiteli domu, aby zamek opravil - ten by ale na to potreboval delsi dobu. Urcite byste mezitim nevykrikoval: "Podivejte, nejdou mi zamknout dvere, budou opraveny az pozitri!"

Nikdo take nesmi zneuzit nevedomosti uzivatele. Stejne jako neprejedu chodce, ktery vstoupil do prechodu, kdyz tam mel cerveneho panacka. 

Co kdyz to ale nelze pouzit vami navrhovane reseni? Napr. spravce serveru vi, ze uzivatele pouzivaji jeho freemail proto, ze umoznuje zobrazovat maily s html kodovanim a umoznuje take spoustet scripty. Pokud ted navrhovane reseni je zakazat sciprty, je to pro spravce neprijatelne a bude hledat jine, treba pracnejsi reseni.

To je opravdu velmi slozity problem, co treba na tyden/mesic/... skripty vypnout, a potom vymyslet/naprogramovat/otestovat lepsi reseni, pak zese skripty zapnout... :)

Honzo, prestan tady, prosim, placat dokola.
Jedine, co mi vadi, ze opravdu 2 dny je MALO.

Kdyz zpravu nezverejni (a neupozorni na to), tak by admin nic nedelal
(aby me nekdo nechytl za slovo - mozna by se nasel alespon jeden admin,
ktery by to nechal lezet nafurt nebo na mesic.)

takze kdo zna html neni amater..

no ja stavim latku trochu vyse

Ja myslel ze amater je clovek, ktery neco dela, ale ta cinnost ho nezivi, zatimco profesional dela tu cinnost za penize. Pokud vim tak to ze je nekdo amater neznamena, ze o problemu vi malo nebo nic ;)

stara definice....

Otazka na autora clanku:

- Informoval jste take poskytovatele freemailu, ze informace zverejnite ve ctvrtek?

- Ubehlo mezi informaci pro spravce freemailu 48 hodin nebo jste je informoval v utery vecer a informace zverejnil ve ctvrtek rano?

- Pozadal jste je o vyjadreni, do kdy problem opravi a dal jste jim sanci problem opravit pred zverejnenim?

Zde jsou odpovedi na Honzovy otazky:
- Ano, pri zasilani upozorneni poskytovatelum freemailu jsem vyslovne uvedl, ze se chystam chyby zverejnit 10.1.2002 vecer. Meli tedy dva dny (od vecera 8.1.2002) a o teto lhute vedeli.
- Jak uz z predchozi odpovedi vyplyva, informoval jsem je v utery vecer a informace zverejnil ve ctvrtek vecer. 48 hodin tedy mezi tim ubehlo.
- Upozornil jsem je, ze se problem chystam zverejnit a informoval jsem jej o lhute, ve ktere jej maji cas opravit. Ze ctyr z peti se do vyprseni lhuty ozvali a zadne problemy s casem nemeli. Pouze z Postu se neozvali - tenhle freemail je ale aspon v posledni dobe nejaky divny. Myslim si, ze se mou zpravou ani nezabyvali. Pokud by potrebovali na opravu vice casu, mohli odpovedet a prodlouzeni lhuty me pozadat, asi bych jim vyhovel.

Jeste jedna analogie me napadla:

Nikdy nereknu - "U dalnice na Mladou Boleslav je uz druhym dnem odstavene auto Audi A6 s plnou vybavou (menic CD a v kufru je lyzarska vystroj). Prave zadni dvere nejsou zamcene. Rikal jsem to sice majiteli, ale ten je sluzebne v zahranici a auto si drive nez za tyden nezabezpeci. Proto apeluji na vsechny, aby si auto nevsimali."

Jenze on to rika i MAJITELUM schranek. Me by zajimalo jestli by te jako majitele exponatu v muzeu nezajimalo ze se tam kde kdo dostane. Majitelu je tisice, jak jinak jim to rict ? Upozornit i lidi, ktery budou by v budoucnu emailovy server mohli provozovat. Maji to vedet vsichni.

To je v poradku, ze informuje majitele schranek. Neda ale cas na napravu a poskytuje navod, jak zneuzit bezpecnostni diry pred moznym opravenim.

ty jsi magor, paneboze.... misto abys byl rad, ze to nekdo zverejni a da tak adminum minimalne 36 hodin na opraveni jejich vlastni blbosti, tak se tady ohanis stupidnima prirovnanima... ach jo... mam svuj server a kdyz mi ho nekdo hackne/crackne, je to proste moje vina, nezabezpecil jsem si ho dostatecne, a nebudu vyrvavat, ze mi mel dat den nebo dva na opravu, nez to zverejni, ale budu drzet hubu a snazit se to OKAMZITE opravit...

Presne tak...Podle meho nazoru je vec informovat predem odpovedou osobu pouze na uvazeni toho, kdo chybu prolomil. Naprikald adminy na seznamu (hacknuto nejlehceji) povazuju za uplny paka, ocekavam od nich omluvu. To totiz neni bug, to je debilita programatoru.

hmm Michal Till ocividne nema ani paru co je to administrovat system ze ? :o)

Tak za prve: jde o uplne neco jineho nez psat nejakou web aplikaci (ve ktere je zde problem)

a za druhe: pako jses asi ty, protoze mi ukaz neco co nema chyby

Sorac, byl to "myslenkovy preklep", samozrejme ne admini (tem se omlouvam) ale programtori te webove aplikace, za tim si stojim. Nejde o to ze by to melo byt bez chyb, chyba je to v pripade treba email.cz, ale toto je primo vystavovani bezpecnostniho stringu!

... on treba neni magor. Je jen jednim z tech potrrefenych adminu

TO HONZA>>> neblbni tady, Mr.Blahos neni zadnej cracker natoz hacker. Vyuziva jen jinde popsane zpusoby a principy, davno zname. O bezbpecnosti FREEmailu a FREEwebu by se dalo psat velmi dlouze. A bylo by to velmi zajimave cteni  Ze si nejaky script kiddie hraje a uci se v PATNACTI LETECH (a navic jiz preklada z anglictiny ? To je dobre, nikomu neskodi, my jsme v tech letech takove moznosti nemeli  ... SKODI TEN, KDO NAPSAL SPATNY SW (tim nechci rici, ze existuje cokoliv bezpecneho - zavisi vsak na hloubce znalosti a na nutnych prostredcich) ... KIDDIE=DETATKO (nikoliv CRACKER )

Pardon, v predchozim prizpevku o vam mluvim jako o autoru clanku... autor je Marek Blahuš.

No myslim, ze vam stejne skoncila vychazka a uz ste zpatky ve svem pavilonu, pod peclivym dozorem, kombinovanym se skotskymi striky, ale stejne mi to neda.
Pokud mi nekdo najde v systemu podobnou chybu, snazim se ji opravit v co nejkratsim case a 48 hodin je na podobne veci az az. Nicmene nechapu jak muzute povazovat podobny prunik do systemu za trestny cin? Pokud se budu ve tri rano prochazet po Narodni galerii a rano to oznamim vedeni, tak se snad nic nedeje - ja sem je upozornil, oni snad tu chybu opravi a pokud ne vina IMHO pada na ne. Jinak by ta chyba byla dal pristupna a je dost velika sance, ze se najde daleko amoralnejsi a stejne schopny clovek, ktery nebude vahat a zneuzije ji.

Ikdyz teda fakt nechapu k cemu je nekomu jedna konkretni schranka na freemailu.

Kdyby se nekdo prochazel ve vasem dome v noci a rano vam to rekl, bylo by vse v poradku? Myslim, ze nebylo.

Je to obdobne - kdyz vim, ze neco neni v poradku, musim podniknout ucinne veci, ktere napravi problem. A veci se netykaji jen upozorneni na chybu, ale take poskytnuti dostatecneho casu na jeji opraveni. Viz Post.cz - programatori slibili, ze chybu opravi, ale dva dny jin na to zrejme nestacily - podle toho, co bylo psano v clanku. Clanek byl stejne zverejnen. Spravnejsi by bylo, kdyby se autor informoval, kdy bude chyba opravena treba postem a pak poskytl navod na opraveni chyby i ostatnim Freemailum. Chybu by mohl zverejnit jen oznamenim o ni (bez navodu) a pokud by ani pak provozovatele nereagovali, zverejnit popis chybu dohromady s jejim moznym resenim.

Skoda jen vasi kousave poznamky o mych vychazkach - jen tolik, ze jsem hodne premyslel, jestli na vas prizpevek reagovat. Uvod degraduje vas prizpevek do diskuze na pouhe urazeni.

Ahoj,
tedy neda mi to, abych taky nepridal nazor.

"Kdyby se nekdo prochazel ve vasem dome v noci a rano vam to rekl, bylo by vse v poradku? Myslim, ze nebylo"
Upravim trochu tve prirovnani tak, aby vice odpovidalo situaci:
Takze pokud by se nekdo prochazel, nebo mohl prochazet v mem dome ( moji schrance) hlidanem bezpecnostni agenturou ( v tomto pripade tedy poskytovatelem freemailu), tak bych byl rad, ze tuto informaci dostane nejen ta bezpecnostni agentura, ale taky ja, jakozto majitel domu. A nejen to. Dost bych se zajimal o to, jak je to mozne a jakym zpusobem k tomu mohlo dojit. A to i proto, abych si sam mohl overit, zda jiz doslo k naprave a v pripade ze ne, tak abych mohl vcas zmenit bezpecnostni agenturu.

Pripadne mi, ze jsi zamestnancem jedne z potrefenych "bezpecnostnich agentur", nebo se pletu ?

to Honza

Jestli jste si toho nevšiml drahý pane, tak autor článku dává jasnou radu všem uživatelům jak se proti tomuto typu útoku bránit
To jest zakázat si v browseru java script a je to.

Takže jeho článek je vrcholně záslužný a uživatelé díky němu ví jak se bránit.

P.S.: Já pokud jsem nalogován jak Windows tak v Linuxu používám hlavní browser (v Linuxu Konqueror ve Windows MSIE) se zakázanou Javou, Active-X, java scripty, instalací součástí plochy atd... . Dělám to kvůli bezpečnosti v ostatních browserech (Mozilla) to mám povoleno a potřebuji-li na stránky s javou a java scrïpty použiji Mozillu.

To ze se da dostat do jakehokoliv systemu je stara znama vec, protoze vsechno je jen otazkou casu a penez. Popisovany postup proniknuti na servery je sice zajimavy, ale opet se opira o chybu uzivatele. Tak jako se nesmite divit, ze Vam virus napadne pocitac, kdyz si otevrete zavirovanou prilohu, tak nechapu proc bych mel vubec otvirat mail od nekoho ciziho. Stejne tak sve "oficialnejsi" email adresy na webu nikam nevyplnuju cimz zabranim zahlceni sve posty spamem a podobnym vtipalkum.

Ruku na srdce, kolika z vas by vadilo, kdyby si nekdo precetl vase soukrome maily? Vzdyt zpravidla v nich neprobiha temer zadna oficialni komunikace a moznost zneuziti je rovna temer nule ....

Samozřejmě. Jen hloupý člověk si otevře e-mail od jemu neznámého odesílatele, natož přílohu. Ale slyšel jsem i o hlupácích, kteří si otevřou e-mail s předmětem ILOVEYOU a přílohu iloveyou.vbs!!!

do minuleho tydne jsem si taky myslel, ze se muzu zavejrit jen tim, ze spustim nejakou priblblou prilohu. Ale I-Worm/BadTransII me vyved z omylu. Stah jsem postu pres POP3 a zavejril sem se jenom tim, ze jsem pres tu zpravu prejel kurzorem :))

Takze ono uz to neni tak tezky se zavejrit :))

K.

Je to dobry clanek, je dobre, ze se tyhle informace uzivatele dozvedi.

Jestli si ty servery ani nekontrolujou session a IP adresu, tak to je teda fakt sila. Sice se me to netyka, protoze mail pres webovy rozhrani nectu, a kdyz uz, tak s vypnutym skriprovanim, ale stejne je to sila. Jen by me docela zajimalo, jestli by neslo cely to slozity vnucovani javascriptu do mailu jednoduse obejit nejakym webbugem a tomu pak testovat hlavicku referrer...

Ono to neni tak jednoduche.

Treba na Email.cz kontrola IP je. Jenze, pokud vase cache ma dva nebo vice otcu (nadrazene cache), tak neni jasne, ze ktereho IP prijde dalsi pozadavek, takze to pak vyhazuje hlasku o neplatnem pristupu. Proto je kontrola implicitne vypnuta - da se zapnout pri logovani. Neco podobneho maji i jine servery.

A s tim, ze kdyz se uzivatel neodhlasi, tak ma neomezeny pristu? .... a co treba doba platnosti kodu? (pokud uzivatel urcitou dobu neudela zadnou akci, tak ze session kod zneplatnen)

Net@ddress (www.netaddress.com) to maji vyresene tak, ze pokud chce uzivatel vesti zabezpeceni, tak se pouzivaji cookies (je to volitelne!). Ma to dve vyhody:

1) postu lze cist jen na pocitaci, odkud se uzivatel prihlasil

2) pokud je uzivatel pripojen modemem, spojeni vypadne a pocitac po opetovnem pripojeni ziska novou IP, tak uzivatel neni odmitnut, prestoze IP je jina

Myslim si, ze se do cookie uklada nejaky autenticky, jedinecny, autorizacni kod...

Cookie se sice ukládá na uživatelově počítači, ale není problém ze skriptu na stránce předstírat, že potřebuju hodnotu cookie zjistit, prohlížeč mi ji dá a já si ji pak při průniku "nastavím" na svém počítači - to lze - cookie se ukládá v prostých souborech, nic víc to není.

A co se týče kontroly IP adresy, i tu dokážu obejít (viz odstavec ohledně Centra).

Jasně, session se po určité době zneplatní. Ale pokud právoplatný uživatel zavře okno a odejde od počítače a já se začnu vydávat za něj, systém si myslí, že jsem on a normálně mě dovolí pracovat dál a neodhlásí mě, pouze pokud bych sám více než onu omezenou dobu nic nedělal. Nebo si napíšu skriptík, který používám, pokud server disponuje ochranou podle IP adresy, a ten mi všechno stáhne za mě a já nemusím sedět u počítače a čekat.

Nekdo vam regulerne hakne vas freeweb a vy to takhle zakrivate ze se nic nestalo.

No to uz je horsi nez ct1 s tim svym vykonstruhovanym zpravodajstvim.

Tohle je normalne sprostej clanek na objednavku s nulovou informacni hodnotou!

shame on you!shame on you!shame on you!shame on you!shame on you!shame on you!shame on you!shame on you!shame on you!shame on you!shame on you!shame on you!shame on you!shame on you!shame on you!shame on you!shame on you!shame on you!shame on you!shame on you!shame on you!shame on you!shame on you!

Seš blbej, zhulenej nebo jen navedenej?

Clanek je to dobry, ale zajimalo by me, zda za nej Marek Blahous dostane honorar

Ono totiz studentum casto panove z vedeni neplati, i kdyz to slibi, ostatne pry to neni omezene jenom na Zive ale i na dalsi z cpressu, ale o tom nemam zadne dukazy ...

me jenom stacilo, kdyz mi po dvouch vydanych clancich neprojevili zajem mi cokoli vyplatit a to po nekolikratem varovani ...

Clanek jsem zverejnil na internetu v ramci svych web stranek, na ktere jsem odkazoval ze zaslane tiskove zpravy (ktera sla mimojine i na Zive), a pripsal jsem k nemu, ze muze byt volne siren v nezmene podobe (vice viz http://unclehacker.mysteria.cz/popis.php). Proto od redakce Zive necekam zadny honorar, i kdyz ve ctenosti trham rekordy

Není to spíš chyba osla, co má povolený JavaScript na těchto serverech, kde to není vůbec potřeba? Tedy asi vyjma emailu, ale to je balastní email server.

Marku Blahuši, když nemáš peníze na server :))), tak kolik času jsi vynaložil na tyto experimenty? Řekl bych, že kupu času, takže...

Moc tomu ale nevěřím, že by si ty servery vážně nekontrolovaly session, anebo tím javascriptem jsi ukradl i tu session a pak ji importoval do svého browseru?

K bezpecnosti, spise nebezpecnosti uzivatelu: pop3.seznam.cz login a password identicky: alberta, americka, amorek, ampulka, anatomie, anketa, anonym, atelier, autorita, babi... (to vse asi za 3 minuty ziskate pruchodem slovniku, kdo ma zajem o moznost vyberu atraktivnich jmen, ma moznost...)

Omlouvám se, že reaguju až později.

"Tyto experimenty" jsem provozoval ze školy, kde mám internet zdarma (ale pomalu) a z domu, vždy během půl hodinky, na kterou se denně na internet připojuji (to jsou mi ještě rodiče ochotni platit). Co se týče celkových nákladů, možná mě to stálo tak jednoměsíční poplatek za nějaký virtuální server. Ale platit si ho každý měsíc, nebo si dokonce pořídit vlastní fyzický server, na to opravdu nemám, nebo by mě to alespoň dost finančně (z)ruinovalo.

Session (pokud myslíš session provozovanou přes cookies) používal ze serverů pouze Atlas, ale ta se dá JavaScriptem pomocí document.cookies "ukrást" a pak se jí prokazovat při vyžadování stránky od serveru ("importovat ji do svého browseru").

"Prunik" ke kontu odhadovanim hesel je neco trochu jineho a dovolil bych si rict "mene sofistiovaneho" nez prunik timto mym pouzitym zpusobem. A hlavne se tak nedostanete ke schrance uzivatele, o jehoz mate zajem, ale pouze ke schrankam vam uplne neznamych lidi.

Je mi to úplně jedno. Akce v Afgánistánu neplánuju a jestli někdo chce číst milostné slinty, co posílám své drahé polovičce mailem, ať to udělá

To jméno je perfektní,

Shut your fuck'n face uncle hackerrrrr.....

a článek Dobrej.

pozrite si vacsinu webov, malo ktory programator escapuje html tagy... potom sa niet comu cudovat ze to dopadne takto.

Myslim si ze zato mozu hlane tieto dve priciny:
1. neviem o tom nepoznam to. (alebo mu este nikto nerozhasil message oard koncovym tagom tabulky).
2. sef vam povie ze uz vcera bolo neskoro a tak sa to neako pozliepa len aby to fungovalo, a ked to funguje tak naco sa v tom vrtat :)

rekl bych ze kdo dela weby tak to asi vi ...

takze pripada v uvahu pouze bod 2

nebo bod tri: jsem liny :o)