Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
Jak w temacie:
https://thehackernews.com/2017/04/unicode-Punycode- … g-attack.html
Jak na razie, załatać można tylko Firefoxa, ustawiając w about:config klucz
network.IDN_show_punycode, true
Domyślnie ten klucz istnieje, ale ma wartość false.
W przypadku Chrome załatana ma być wersja 58, Opera pewnie też kiedyś
to załata, w każdym razie dziura jest dosyć groźna, zwłaszcza w połączeniu
z nieaktualizowanym softem w routerze.
Tu jest demo ataku.
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2017-04-18 01:30:43)
Offline
Mnie zastanawia po co ktoś taką opcją domyślnie ustawił na false. Co innego gdyby jej w ogóle nie było ale jest i chyba ci co ją zaimplementowali wiedzieli co true/false robi w jej przypadku? xD
Offline
morfik napisał(-a):
Mnie zastanawia po co ktoś taką opcją domyślnie ustawił na false. Co innego gdyby jej w ogóle nie było ale jest i chyba ci co ją zaimplementowali wiedzieli co true/false robi w jej przypadku? xD
Chodzi o to, żeby wyświetlać adresy internetowe w standardzie UTF8
- ze znakami charakterystycznymi dla rożnych języków.
Np przez internet zapierdziela adres domenowy w US-ASCII,
a wyświetla w przeglądarce różyczka.pl.
Dowcip polega na tym, że programiści z US nie znają wszystkich języków świata i dlatego chińscy, japońscy , perscy czy arabscy hakerzy mają z tego niezłą polewkę czasami.
W ten sposób można zrobić kopie stron wszystkich banków w ZSRE,
a kto sprawdza szczegóły certyfikatu, kiedy chce się do banku zalogować?
Co się tyczy odpowiedniego przekierowania DNS, to jak często " statystyczny Kowalski" aktualizuje soft w routerze?
Swoją drogą punkt dla FF, 30 sekund i poprawione, a w przypadku Chrome, Opery czy bibliotek - Webkitów, wszystko jest podatne we wszystkich systemach.
Pozdro
Ostatnio edytowany przez Jacekalex (2017-04-18 18:19:44)
Offline
Warto rownież rozważyć zmianę czcionki, co oczywiście problemu nie rozwiązuje, ale czyni pewne próby zdecydowanie bardziej oczywistymi:
Ostatnio edytowany przez Carnophage (2017-04-18 18:53:39)
Offline
Jacekalex napisał(-a):
a kto sprawdza szczegóły certyfikatu, kiedy chce się do banku zalogować?
Eee, ja. xD A poza tym, to to znowu tak nie działa, to musisz wejść w link, ewentualnie skopiować tekst i go wkleić w pole adresu. A jak masz zakładkę banku czy z palca wpisujesz adres, to ci ten atak żadnej krzywdy nie wyrządzi.
Idąc dalej, jeśli się przyjrzysz uważnie, to jeden cert jest podpisany przez let's encrypt i tam masz może kłódkę ale nie masz żadnego podpisu. A wejdź w apple.com i od razu różnica już jest widoczna w pasku adresu. Ja zawsze patrzę po tej nazwie i jak nie ma nazwy, a jest to jakiś krytyczny serwis, to jednak patrzę co tam za cert siedzi. xD
Offline
Pod warunkiem, że strona stosuje Extended Validation.
Poza tym, 99% ludziów nie zauważy, kiedy strona np ingbanku czy mbanku nie pokaże nagłówka EV, tylko w najlepszym razie, kiedy pokaże się ostrzeżenie dotyczące certyfikatu, a to też nie zawsze.
Ostatnio edytowany przez Jacekalex (2017-04-18 20:27:59)
Offline
Chyba wszystkie szanujące się banki i strony stosujące jakieś formy płatności (paypal) raczej już wykorzystują ten EV i dobrze jest zwracać uwagę na to co pisze tam na pasku.
A tak po za tym, to chyba let's encrypt przyczynił się do eskalacji tego ataku jak nikt inny. xD
Offline
Strony: 1