Keresés

Innen nézitek

Top 10

  1. Windows 10 WiFi problémák
  2. Ki viszi át a CIB Bankot?
  3. Hogy kell filmet letölteni torrent oldalról?
  4. Ezt muszáj tudnod a Facebook tesztekről
  5. Névjegyek importja Samsung telefonokra
  6. Samsung, Kies és Smart Switch elborzasztó tapasztalatok
  7. DNS szerver csere Windows 10 alatt
  8. Tűzfal Android telefonra
  9. A kínai import tanulópénze
  10. A "végett" szó használata miatt

Utolsó kommentek

Címkék

404 (3) abevjava (2) adatkezelés (3) adatvédelem (9) adobe (3) adóbevallás (3) adónaptár (2) adsense (2) adwords (2) analytics (2) Android (5) antivírus (2) apeh (6) apple (4) Apple (9) azonosítás (2) Baja Ferenc (12) bak (3) bank (5) bankkártya (2) banner (3) befektetés (3) broadcast (2) bug (2) bulvár (2) cib (2) CIB (3) citromail (2) csalás (2) CT (2) digitális (2) direkt marketing (5) DK (2) dm (3) DNS (3) domain (7) Dr Dedinszky Ferenc (2) e-kormányzat (6) eDM (4) edm (3) eGov (2) ekormányzat (2) Elektronikus Ügyintézés (2) email (6) emeltdíjas (2) error (3) Észak-Korea (2) évértékelő (8) évértékelő beszéd (2) Facebook (10) facebook (2) felhő (2) FIDESZ (2) firewall (2) fogyasztóvédelem (2) forgalom (2) forráskód (2) framework (2) freemail (3) giro (2) gmail (9) Goldenblog (2) Google (6) google (18) Google Adsense (2) Google Apps (3) Google Maps (2) Google Plus (2) gov.hu (2) Gyurcsány (2) hack (2) hacker (5) háttérkép (2) hellókarácsony (2) hiba (3) hírek (2) hírlevél (4) hitel (2) hitelkártya (3) html (2) IBM (3) Indapass (2) Index (2) informatikus (2) ingyenes (3) internet (5) iOS (3) ipad (5) iPad (3) iphone (2) iPhone (7) iPhone5 (2) iPhone 5 (2) iPhone hamisítvány (2) iszt (3) itbn (2) iTunes (3) jailbreak (2) java (2) jelszó (4) kamat (2) karbantartás (2) kereső (2) KIES (2) kocka (3) kód (2) kontár (2) Kopint-Datorg (3) kormányzati (2) kormányzati portál (13) közmű (2) központi rendszer (3) kr (3) leiratkozás (3) LinkedIn (2) logo (2) mac (3) magyarország (2) magyarorszag.hu (11) magyarország.hu (13) Magyar Nemzet (2) mailbox (5) marketing (7) marketingcommando (2) MÁV (2) medián (3) médiatörvény (2) Microsoft (3) microsoft (6) mobil (2) mobilnet (2) NAV (3) nCore (3) ndk (2) Nemzeti Digitális Közmű (5) Nyitrai Zsolt (2) offline spam (4) okostelefon (2) online marketing (3) online marketing tanácsadó (2) Oracle (2) Orbán Viktor (8) pályázat (2) pannon (2) pdf (2) pénz (2) php (2) portál (3) programozó (2) regisztráció (2) reklám (11) RIP (7) router (2) rss (2) rtl klub (2) sablon (4) Samsung (3) security (2) site builder (2) skin (2) SMS (4) sms (8) spam (19) Steve Jobs (3) stressz teszt (2) sün (2) symfony (2) szaunaparaszt (2) szavazás (2) szélessáv (2) személyes adatok (3) szerencsejáték (2) szerverfarm (2) szófelhő (11) támogatás (2) tartalomszolgáltatás (2) telenor (3) telepítés (2) template (2) teszt (2) theme (2) The New iPhone (2) torrent (5) tűzfal (5) tv2 (4) twitter (2) Twitter (2) ügyfélkapu (30) Ügyfélkapu (3) ügyfélkapu2 (2) unsubscribe (3) url rövidítő (2) válságkommunikáció (2) vers (2) vicc (6) vista (2) warez (2) webaudit (4) webdesign (2) webshop (2) wifi (2) wireless (2) wordle (4) Wordle (3) wordpress (2) Wordpress (2) yii (2) Youtube (4) zend (2) Címkefelhő

A Microsoft első öngólja az új böngészővel

Címkék: microsoft google filter xss ie8 cross site scripting

2009.03.23. 17:17 Éjszakai őrség


Többmillió felhasználót korlátoz első körben a Microsoft 8-as verziójú böngészője.

Ki más is lenne megint, akinek az orra alá borsot törnek Rendmondban, mint a Google. Az Internet Explorer 8-as verziója az egyébként nagyon hasznos Cross Site Scripting (XSS) szűrőjével okoz fejtörést, amire egyelőre a web közössége nem talált megoldást.

google-vs-microsoft.jpg

A helyközi, parancsfájlt alkalmazó támadások (így fordították az XSS-t) kivédése fontos dolog. Hamis banki vagy más egyéb adatlopó oldalak kiszűrésére jónak gondoljuk az alapötletet, de talán megadhatná a program a jogot a elhasználónak, hogy saját felelősségére szabadon dönthessen arról, tényleg veszélyes-e az oldal.

Hogy működik?

Az XSS támadás egyik fajtája az, hogy a céloldal címéhez hasonló címet hoznak létre, és ott gyűjtik be az adatokat. Például a támadás alá vont oldal címe:http://www.klasszbank.hu, az adatgyűjtő oldalé pedig http://www.klasszbank.hu/jelszo/fontos@www.adatgyujto.com

Első ránézésre az adatgyűjtő oldal címe hihetőnek tűnik, főleg akkor, ha a legvégén az "adatgyujto.com" helyett csak egy IP cím áll, mondjuk 212.5.51.34, ami az avatatlan felhasználó számára már a tökéletesen felismerhetetlen. A második linkre kattintva nem a klasszbank.hu oldalra jutunk, hanem az adatgyujto.com oldalra. Ha itt egy megfelelően előkészített, a klasszbank.hu oldal arculatát híven tükröző grafikát látunk, hamar csapdába eshetünk és az adatainkat úgy adjuk ki, hogy az adatlopók fognak az akció végén örülni.

Mi tehát az IE8 hibája?

A Google Apps program résztvevőinek lehetősége van saját domain név és saját arculat alatt üzemeltetni Google szolgáltatásokat. A cél az, hogy a cég a saját címét adja a felhasználóinak, a Google domain neve csak a szolgáltatásba belépés után kerül előtérbe. Azaz csak kerülne, mert a www.domain.com alatt működő, Google Apps-ra támaszkodó háttérrendszer www.google.com/a/domain.com címen lenne elérhető, ezt pedig az IE8 XSS szűrője - a feladatának megfelelően - letiltja.

Működő, azaz épp hogy nem működő példát láthatunk itt: http://www.postino.net. Kipróbálni csak akkor lehet, ha más böngészővel készítünk magunknak egy accountot. És igen, ilyen reklámot senki sem kíván magának. :(

*** UPDATE ***

Jött egy megoldás. Az XSS filtert ki lehet kapcsolni a következő lépésekkel.

1. Az IE8 menüben Eszközök -> Internetbeállítások
2. Biztonság fül -> Internet zóna -> Egyéni szint nyomógomb
3. Legalul az XSS-szűrő engedélyezést le kell tiltani.

*A bejegyzés korábban megjelent a Kockablog-ban.

Facebook Tumblr Tweet Pinterest Tetszik
0

Szólj hozzá, klikk ide! Szólj hozzá!

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://eo.blog.hu/api/trackback/id/tr744718940

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása