avva, от тебя я такого не ожидал. Ведь ты наверняка знаешь об интернационализации универсальных локаторов (которая не является инициативой Майкрософта) и о том, что теперь адрес фирмы можно записать, скажем, вот так: www.micrоsoft.com (первое "о" в названии фирмы - кириллица), и на этот адрес можно получить валидный SSL сертификат. Теперь в свете этого объясни пожалуйста, чем провинилась фирма Майкрософт. Тем, что поддерживает Интернет-стандарт?
Либо мы друг друга не поняли, либо у Вас рефлекс Microsoft bashing эээ... застит глаза. Я говорю о новом стандарте, по которому в Интернет-адресах могут быть буквы не только латинских алфавитов. А Вы о чем говорите?
Нет такого Интернет-стандарта "кликать/не кликать на линки". Пожалуйста, попробуйте внимательно прочитать эту статью. Она действительно может быть полезна пользователю Интернета.
Ну да, а ребята из w3 это (ркуаhttp://www.w3.org/TR/1998/REC-html40-19980424/struct/links.html#h-12.1.1) в шутку написали, от нечего делать:
12.1.1 Visiting a linked resource
The default behavior associated with a link is the retrieval of another Web resource. This behavior is commonly and implicitly obtained by selecting the link (e.g., by clicking, through keyboard input, etc.).
1. Вы дали неправильный линк. 2. Если верить каждому слову w3c, то Нетскейп, первые разработавшие scripting language for browser, являются злостными нарушителями стандарта, поскольку при нажатии на линк, к которому подключен скрипт, another Web resource не загружается. 3. Сами же написали: through keyboard input 4. Хотите нажимать на линки - пожалуйста. Вы ведь Нетскейпом пользуетесь, ведь не Эксплорером же? Ну так вот, есть множество атак класса той, что приведена (в качестве примера!) в статье, от которых Нетскейп не защищен. Так что когда вместо сайта своего банка попадете на хакерский и Ваши данные попадут к хакерам - пеняйте на себя.
тогда попробуйте перенабрать в адресной строке вот этот URL (http://www.google.com.ru/search?q=%D1%82%D1%8B+%D0%BF%D1%80%D0%B0%D0%B2%D0%B4%D0%B0+%D0%B4%D1%83%D0%BC%D0%B0%D0%B5%D1%88%D1%8C%2C+%D1%87%D1%82%D0%BE+%D0%BF%D0%B5%D1%80%D0%B5%D0%BD%D0%B0%D0%B1%D0%B8%D1%80%D0%B0%D1%82%D1%8C+%D0%BA%D0%B0%D0%B6%D0%B4%D1%8B%D0%B9+%D1%80%D0%B0%D0%B7+URL+%D0%B2%D1%80%D1%83%D1%87%D0%BD%D1%83%D1%8E+-+%D1%8D%D1%82%D0%BE+%D0%A0%D0%90%D0%97%D0%A3%D0%9C%D0%9D%D0%9E%D0%95+%D1%80%D0%B5%D1%88%D0%B5%D0%BD%D0%B8%D0%B5+%D0%BF%D1%80%D0%BE%D0%B1%D0%BB%D0%B5%D0%BC%D1%8B%3F+%D0%B5%D1%81%D0%BB%D0%B8+%D0%B4%D0%B0%2C+%D1%82%D0%BE+%D1%82%D1%8B+%D0%BD%D0%B0%D0%B2%D0%B5%D1%80%D0%BD%D0%BE%D0%B5+%D1%82%D0%B0%D0%BA+%D0%B8+%D0%B4%D0%B5%D0%BB%D0%B0%D0%B5%D1%88%D1%8C%3F+%D0%BF%D1%80%D0%B0%D0%B2%D0%B4%D0%B0%3F&ie=UTF-8&oe=UTF-8&hl=ru&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=)
*вздыхает* Разумеется, подразумеваются не все адреса. В частности, разумеется, не адреса поиска на Гугле. Какие адреса подразумеваются? Ну, допустим, Вам пришел мейл, якобы от Вашего банка, в котором Вам предлагается зайти на свой счет и что-то там подтвердить. И дается линк - на якобы сайт банка. Вот такой адрес лучше набирать ручками, или держать в закладках, или пользоваться autocompletion, иначе данные Вашего счета могут попасть не по адресу. Чуть-чуть здравого смысла, а?
мне не понятно почему вы считаете, что в этом совете здравого смысла больше чем в исправлении ошибки в IE, а вместо этого гениального во всех отношениях совета не написать например "Самый эффективный способ защиты от опасных гиперссылок — это установить вот _этот_ патч"?
Мне кажется, ответ следующий: Ранее Майкрософт выпускала множество пэтчей, за что бывала (справедливо) бита по голове специалистами по безопасности, ибо:
1. Когда пэтчей много, сложно разобраться, что к чему, и что с чем совместимо 2. Каждый новый, недостаточно проверенный (потому как впопыхах выпущенный) пэтч служит причиной появления десятка следующих.
Поэтому пэтч и не выходит немедленно, а проходит основательное тестирование, и пэтч выпускается не на каждую небольшую проблему (а эта проблема с точки безопасности не ОЧЕНЬ серьезная: по крайней мере есть несколько способов ее обойти), а на несколько сразу.
Это во-первых. Во-вторых, пэтч решит конкретно эту проблему. Он не решит множество других подобных проблем, которые багами НЕ ЯВЛЯЮТСЯ. Поэтому полезно пользователю лишний раз объяснить, как обезопасить себя от возможных проблем.
В-третьих, даже когда патч выйдет, далеко не сразу и не везде он сможет быть установлен. Например - потому, что во многих организациях каждое изменение конфигурации проходит внутренние проверки и сертификацию.
>1. Когда пэтчей много, сложно разобраться, что к чему, и что с чем совместимо
в связи с чем очень давно существует волшебная страница windowsupdate.microsoft.com (http://windowsupdate.microsoft.com) которая полностью решает проблему "сложно разобраться"
>2. Каждый новый, недостаточно проверенный (потому как впопыхах выпущенный) пэтч служит причиной появления десятка следующих.
а вы не замечали что в подавляющем большинстве случаев за последние годы это касается только "Microsoft(tm)"??(просто к слову)
>Во-вторых, пэтч решит конкретно эту проблему. Он не решит множество других подобных проблем, которые багами НЕ ЯВЛЯЮТСЯ. Поэтому полезно пользователю лишний раз объяснить, как обезопасить себя от возможных проблем.
а речь и идет конкретно об этой проблеме(malicious hyperlinks). и ручной ввод адреса не решит множество других подобных проблем, которые багами НЕ ЯВЛЯЮТСЯ. Поэтому и непонятно чем ручной ввод лучше патча
>В-третьих, даже когда патч выйдет, далеко не сразу и не везде он сможет быть установлен. Например - потому, что во многих организациях каждое изменение конфигурации проходит внутренние проверки и сертификацию.
ничтожный срок по сравнению с тем сколько приходится ждать выхода самого патча
в связи с чем очень давно существует волшебная страница windowsupdate.microsoft.com которая полностью решает проблему "сложно разобраться"
Разумеется, она сильно облегчает жизнь, но никак не полностью решает проблему. Да заяви Майкрософт, что windowsupdate полностью решает какую-либо проблему, среди тех, кто со мной сейчас спорит такой вой поднимется! Разумеется, все еще остается проблема различий в конфигурациях. Чем больше патчей, тем больше вероятность, что произойдет конфликт между новоприбывшим патчем и чем-то, что уже стоит на машине.
>2. Каждый новый, недостаточно проверенный (потому как впопыхах выпущенный) пэтч служит причиной появления десятка следующих.
а вы не замечали что в подавляющем большинстве случаев за последние годы это касается только "Microsoft(tm)"??(просто к слову)
Нет, не замечал, буду благодарен за ссылку с такой информацией. Пока что я посмотрел вот здесь: http://www.cert.org/advisories/ Создается впечатление, что 3 продукта, у которых больше всего "повторных" vulnerabilities - это PHP, Sendmail, OpenSSL (хотя возможно, что многочисленные проблемы, найденные в этих продуктах, не связаны между собой).
а речь и идет конкретно об этой проблеме(malicious hyperlinks). и ручной ввод адреса не решит множество других подобных проблем, которые багами НЕ ЯВЛЯЮТСЯ. Поэтому и непонятно чем ручной ввод лучше патча
Нет, Вы невнимательно прочитали статью. Конкретная проблема (а именно, то, что после %00 в status bar ничего не видно) является лишь одним проявлением целого класса проблем, подпадающих под категорию "malicious hyperlinks". В частности, точно того же эффекта можно добиться при помощи JavaScript, и еще миллионом способов, от которых никакой патч, повторяю, не спасет, а меры, указанные в статье (из которых ручной ввод - далеко не единственная) - спасут.
>В-третьих, даже когда патч выйдет, далеко не сразу и не везде он сможет быть установлен. Например - потому, что во многих организациях каждое изменение конфигурации проходит внутренние проверки и сертификацию.
ничтожный срок по сравнению с тем сколько приходится ждать выхода самого патча
Еще одно голословное утверждение. Сколько, по-Вашему, длится сертификация в различных организациях и сколько, по-Вашему, предстоит дожидаться патча? Насколько мне известно, на первый вопрос однозначный ответ найти непросто, а на второй - невозможно (по крайней мере, ничего на эту тему объявлено не было).
неужли такое доменное имя, да, именно microsoft.com с кириллическим "O" вообще возможно будет зарегистрировать, ведь, а принципе, такое имя с добрыми намерениями никто себе столбить не станет? То есть я к тому, что если регистрируют хорошо намоленное имя, то почти наверняка с целью подлога.
Ну да, с добрыми - не станет, а со злыми - станет. Именно поэтому (а также для защиты от всевозможных других форм подложных адресов, например формы www.microsoft.com/:1@127.0.0.1/ либо обманных JavaScript указателей в status bar) и написана статья, на которую avva дает ссылку. То есть, фирма Майкрософт заботится о безопастности пользователей (даже за счет потери в функциональности), т.е. делает именно то, что от нее требовали люди, которые теперь этим недовольны. Почему? У меня только один вариант ответа: Microsoft bashing слишком глубоко засел в крови.
Мне кажется, это очень правильный шаг. Сейчас практически никто из легитимных пользователей этим синтаксом не пользуется, и это как раз тот случай, когда ради безопасности вполне можно обойтись без этого (ненужного) фичера.
Извини, но твой ответ относится к классу "в огороде бузина, а в Киеве дядька". Если ты пойдёшь по ссылке и прочитаешь сам документ Майкрософта, то увидишь, что там ясно написано, что речь идёт об известной недавней дырке, позволяющей составить ссылку так, что IE показывает один сайт, а идёт совершенно на другой, причём никакого отношения к интернационализации или не-латинским алфавитам это не имеет. Т.к. Майкрософт не может или не хочет починить этот баг, компания советует пользователям воспользоваться такой переводой технологией, как перенабивание адреса вручную.
Что же касается интернациональных URLов, то использование их для подделки веб-сайтов упирается в вопрос интернационализации DNS, который, насколько мне известно, так до сих пор и не решён удовлетворительно. Мне неизвестно ни о каких широкомасштабных попытках обмануть пользователей, перенаправляя их на адреса типа указанного тобой (в то время как описанный мной выше баг как раз использовался и используется для таких атак). Когда опасность таких атак станет реальной, конечно же, можно будет найти другое, нормальное решение проблемы похожих символов в разных алфавитах (например, визуально отмечая в браузере URLы, использующие не-латинские символы, или символы из разных алфавитов; а также включая возможность запретить такие URLы в опциях секьюрити браузера). Уверен, что в ту пору чудесную даже Майкрософт попробует воплотить такие технические решения, вместо того, чтобы просить юзеров перенабирать руками любой URL, в котором они не уверены.
Ты пишешь: Извини, но твой ответ относится к классу "в огороде бузина, а в Киеве дядька". Если ты пойдёшь по ссылке и прочитаешь сам документ Майкрософта, то увидишь, что там ясно написано, что речь идёт об известной недавней дырке, позволяющей составить ссылку так, что IE показывает один сайт, а идёт совершенно на другой, причём никакого отношения к интернационализации или не-латинским алфавитам это не имеет.
Microsoft пишет: Caution The following information provides general guidelines based on well-known attacks. Because attacks change constantly, malicious users could create spoofed Web sites by using means other than those that are described here.
Продолжать? Продолжаем. Ты имеешь в виду, видимо, вот эту дырку:
Да, это баг. Да, он наверняка будет скоро починен. Но:
1. Останется множество юзеров с по разным причинам непочиненым браузером, и их надо бы предупредить. 2. Допустим, во всех остальных браузерах такого бага нет. Все равно 99.999% пользователей купятся на URL такого вида. Ты не согласен? Этих пользователей не надо предупредить? Заметь, что помимо ручного ввода адреса (который приведен ближе к концу статьи) там приведено еще несколько способов проверки того, что пользователь пришел на правильный сайт.
Добавлю только, что в моей версии IE этот линк отображается правильно. Так что утверждение о "не хочет либо не может починить" лично я подвергаю сомнению.
Microsoft пишет: Caution The following information provides general guidelines based on well-known attacks. Because attacks change constantly, malicious users could create spoofed Web sites by using means other than those that are described here.
Ага. Но ни слова об интернациональных URLах здесь нет. Вообще никаких широкомасштабных атак с их использованием не было. И не предвидится в ближайшем будущем. Наконец, они менее опасны, чем баги с неправильным отоборажением URLов в поле адреса, т.к. поддельные, похожие на "Microsoft" имена Майкрософт может оспаривать и отбирать через систему арбитрации доменов (и регулярно этим занимается), а в случае бага настоящая страница находится на сайте, который по написанию на "microsoft.com" совершенно не похож.
Короче говоря, твоё упоминание вопроса интернационализации никакого отношения к данной статье Майкрософт и к обсуждаемой проблеме не имеет.
1. Останется множество юзеров с по разным причинам непочиненым браузером, и их надо бы предупредить.
А кто сказал, что не нужно предупреждать? Я высмеиваю советы набирать руками любой URL, в котором юзер не уверен, а не саму идею предупреждения о проблемах такого рода.
2. Допустим, во всех остальных браузерах такого бага нет. Все равно 99.999% пользователей купятся на URL такого вида. Ты не согласен? Этих пользователей не надо предупредить? Заметь, что помимо ручного ввода адреса (который приведен ближе к концу статьи)
Ручной ввод адреса приведен в самом начале статьи и является первым советом пользователям большинства веб-сайтов (перед ним ещё есть совет проверять замочек, но ясно, что количество сайтов, бегущих на SSL, и их посетителей, ничтожно по сравнению с сайтами/посетителями всего веба).
Ага. Но ни слова об интернациональных URLах здесь нет.
Справедливо. Я привел их в качестве примера атаки, которой будут подвержены все браузеры. В статье же описываются все атаки подобного рода (соответственно, советы, перечисленные в статье, касаются и этой атаки).
Вообще никаких широкомасштабных атак с их использованием не было. И не предвидится в ближайшем будущем.
Мне кажется, что как только будет технологическая база (т.е. поддержка DNS), такие атаки не замедлят появиться. Мог ли ты предположить 4 дня назад, чем будешь заниматься в течении последующих 2-х дней? :)
т.к. поддельные, похожие на "Microsoft" имена Майкрософт может оспаривать и отбирать через систему арбитрации доменов
Разумеется. Проблема в том, что пока домейн отберут, на него миллионы пользователей купятся.
а в случае бага настоящая страница находится на сайте, который по написанию на "microsoft.com" совершенно не похож
Как я уже писал, 99.999% пользователей купятся на подобный адрес и без бага. Пользователь не является парсером адресов.
А кто сказал, что не нужно предупреждать? Я высмеиваю советы набирать руками любой URL, в котором юзер не уверен, а не саму идею предупреждения о проблемах такого рода.
В статье дается _несколько_ советов, далее пользователь может выбрать тот способ, который ему больше подходит. Кстати, ты бы пошел по линку на сайт своего банка? Я - нет. Набрал бы ручками.
Мне кажется, что как только будет технологическая база (т.е. поддержка DNS),
Я, откровенно говоря, не очень в курсе, но насколько я знаю, никакой специальной поддержки в DNS не нужно. Есть punycode (http://www.rfc-editor.org/rfc/rfc3490.txt), правила по которым интернационализированное имя преобразовывается в ASCII с префиксом xn--, и всё.
Проблема в том, что пока домейн отберут, на него миллионы пользователей купятся.
Ну, если говорить о сертификатах, то в них самое важное не домен, а организация, которой он выдан. Ни один сертификатор, находясь в здравом уме, не выдаст сертификат корпорации Microsoft с киррилическим "о" в названии; кроме того ни в одной стране такая корпорации не будет зарегистрирована.
Ну, если говорить о сертификатах, то в них самое важное не домен, а организация, которой он выдан. Ни один сертификатор, находясь в здравом уме, не выдаст сертификат корпорации Microsoft с киррилическим "о" в названии; кроме того ни в одной стране такая корпорации не будет зарегистрирована.
Вы, безусловно, правы. Проблема, однако, в том, что:
1. Большая часть пользователей ВООБЩЕ не знает, что такое SSL. 2. Те из них, кто знают - как правило не знают, как он работает. Так что если им браузер выдаст окошко с надписью "This certificate was signed by an unknown CA. Do you wish to install a new root CA certificate?" он ничтоже сумняшеся нажмет на "Yes". Аналогично с сообщением "The name in the certificate does not match the domain name". Он просто не будет знать, что делать, и скорее всего согласится. А тогда весь смысл сертификатов теряется. Я Вам больше скажу. Есть множество солидных фирм (в том числе одна из крупнейших брокерских фирм), у которых имя в сертификате не соответствует имени их домейна. Они даже не поняли что я от них хочу, когда я им об этом сообщил.
А по поводу регистрации сертификата - на Майкрософт, наверное, не выдадут. А на какую-нибудь менее известную фирму может и выдадут.
Что же касается DNS, насколько я знаю, стандарта (даже де-факто) еще нет, есть только разные feasibility tests.
Приятно было в этой дискуссии наконец-то поговорить о деле.
В статье дается _несколько_ советов, далее пользователь может выбрать тот способ, который ему больше подходит. Кстати, ты бы пошел по линку на сайт своего банка? Я - нет. Набрал бы ручками.
Но в статье же не говорится, скажем, "обращайте особое внимание на URLы, ведущие на сервисы, содержащие Вашу конфиденциальную информацию, в том числе финансовую. Заслуживают подозрения ссылки на такие ресурсы, содержащиеся в пришедшим к Вам по почте письмам, или на веб-сайтах, никакого отношения к данным сервисам не имеющих" итп. Такие советы могли бы быть полезными, действительно.
Совет набирать руками все ссылки, к которым у пользователя нет доверия, совершеннп абсурден и лишён всякого смысла (и пользы). Единственный реальный от него результат - то, что энное количество глупых юзеров начнут вообще все ссылки вбивать от руки, вместо того, чтобы нажимать на них.
О том, что лучше вместо такого совета было бы патч привести, уже писали.
Ты путаешь саму статью и Summary.
Какая разница? Так или иначе, это то, что читатель данного документа прочтёт в самом начале.
Что-то сомнительно. Ведь ясно, что одно слово в этом случае можно написать десятками, если не сотнями разных способов. Им придется продумать систему исключения псевдодубляжа. Я бы на их месте принимал заявки с именами в отсканированном виде на бумаге. Это устранило бы большинство проблем.
Там вообще перевод гениальный. "Однако злоумышленник может создать ссылку на злонамеренный (обманчивый) веб-узел, при наведении указателя мыши на которую будет отображаться адрес допустимого веб-узла". Они, кажется, заодно отрабатывают собственный алгоритм машинного перевода.
![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
no subject
no subject
Скоро от Мелкомягких мир дождётся совета не пользоваться e-mail, а вместо этого писать письма на бумаге и отправлять по почте.
no subject
no subject
no subject
no subject
12.1.1 Visiting a linked resource
The default behavior associated with a link is the retrieval of another Web resource. This behavior is commonly and implicitly obtained by selecting the link (e.g., by clicking, through keyboard input, etc.).
no subject
2. Если верить каждому слову w3c, то Нетскейп, первые разработавшие scripting language for browser, являются злостными нарушителями стандарта, поскольку при нажатии на линк, к которому подключен скрипт, another Web resource не загружается.
3. Сами же написали: through keyboard input
4. Хотите нажимать на линки - пожалуйста. Вы ведь Нетскейпом пользуетесь, ведь не Эксплорером же? Ну так вот, есть множество атак класса той, что приведена (в качестве примера!) в статье, от которых Нетскейп не защищен. Так что когда вместо сайта своего банка попадете на хакерский и Ваши данные попадут к хакерам - пеняйте на себя.
Re:
потом расскажете насколько это эффективно
Re:
Re:
мне не понятно почему вы считаете, что в этом совете здравого смысла больше чем в исправлении ошибки в IE, а вместо этого гениального во всех отношениях совета не написать например "Самый эффективный способ защиты от опасных гиперссылок — это установить вот _этот_ патч"?
Re:
1. Когда пэтчей много, сложно разобраться, что к чему, и что с чем совместимо
2. Каждый новый, недостаточно проверенный (потому как впопыхах выпущенный) пэтч служит причиной появления десятка следующих.
Поэтому пэтч и не выходит немедленно, а проходит основательное тестирование, и пэтч выпускается не на каждую небольшую проблему (а эта проблема с точки безопасности не ОЧЕНЬ серьезная: по крайней мере есть несколько способов ее обойти), а на несколько сразу.
Это во-первых. Во-вторых, пэтч решит конкретно эту проблему. Он не решит множество других подобных проблем, которые багами НЕ ЯВЛЯЮТСЯ. Поэтому полезно пользователю лишний раз объяснить, как обезопасить себя от возможных проблем.
В-третьих, даже когда патч выйдет, далеко не сразу и не везде он сможет быть установлен. Например - потому, что во многих организациях каждое изменение конфигурации проходит внутренние проверки и сертификацию.
Re:
в связи с чем очень давно существует волшебная страница windowsupdate.microsoft.com (http://windowsupdate.microsoft.com) которая полностью решает проблему "сложно разобраться"
>2. Каждый новый, недостаточно проверенный (потому как впопыхах выпущенный) пэтч служит причиной появления десятка следующих.
а вы не замечали что в подавляющем большинстве случаев за последние годы это касается только "Microsoft(tm)"??(просто к слову)
>Во-вторых, пэтч решит конкретно эту проблему. Он не решит множество других подобных проблем, которые багами НЕ ЯВЛЯЮТСЯ. Поэтому полезно пользователю лишний раз объяснить, как обезопасить себя от возможных проблем.
а речь и идет конкретно об этой проблеме(malicious hyperlinks). и ручной ввод адреса не решит множество других подобных проблем, которые багами НЕ ЯВЛЯЮТСЯ.
Поэтому и непонятно чем ручной ввод лучше патча
>В-третьих, даже когда патч выйдет, далеко не сразу и не везде он сможет быть установлен. Например - потому, что во многих организациях каждое изменение конфигурации проходит внутренние проверки и сертификацию.
ничтожный срок по сравнению с тем сколько приходится ждать выхода самого патча
Re:
Разумеется, она сильно облегчает жизнь, но никак не полностью решает проблему. Да заяви Майкрософт, что windowsupdate полностью решает какую-либо проблему, среди тех, кто со мной сейчас спорит такой вой поднимется! Разумеется, все еще остается проблема различий в конфигурациях. Чем больше патчей, тем больше вероятность, что произойдет конфликт между новоприбывшим патчем и чем-то, что уже стоит на машине.
>2. Каждый новый, недостаточно проверенный (потому как впопыхах выпущенный) пэтч служит причиной появления десятка следующих.
а вы не замечали что в подавляющем большинстве случаев за последние годы это касается только "Microsoft(tm)"??(просто к слову)
Нет, не замечал, буду благодарен за ссылку с такой информацией. Пока что я посмотрел вот здесь: http://www.cert.org/advisories/
Создается впечатление, что 3 продукта, у которых больше всего "повторных" vulnerabilities - это PHP, Sendmail, OpenSSL (хотя возможно, что многочисленные проблемы, найденные в этих продуктах, не связаны между собой).
а речь и идет конкретно об этой проблеме(malicious hyperlinks). и ручной ввод адреса не решит множество других подобных проблем, которые багами НЕ ЯВЛЯЮТСЯ.
Поэтому и непонятно чем ручной ввод лучше патча
Нет, Вы невнимательно прочитали статью. Конкретная проблема (а именно, то, что после %00 в status bar ничего не видно) является лишь одним проявлением целого класса проблем, подпадающих под категорию "malicious hyperlinks". В частности, точно того же эффекта можно добиться при помощи JavaScript, и еще миллионом способов, от которых никакой патч, повторяю, не спасет, а меры, указанные в статье (из которых ручной ввод - далеко не единственная) - спасут.
>В-третьих, даже когда патч выйдет, далеко не сразу и не везде он сможет быть установлен. Например - потому, что во многих организациях каждое изменение конфигурации проходит внутренние проверки и сертификацию.
ничтожный срок по сравнению с тем сколько приходится ждать выхода самого патча
Еще одно голословное утверждение. Сколько, по-Вашему, длится сертификация в различных организациях и сколько, по-Вашему, предстоит дожидаться патча? Насколько мне известно, на первый вопрос однозначный ответ найти непросто, а на второй - невозможно (по крайней мере, ничего на эту тему объявлено не было).
это как?
неужли такое доменное имя, да, именно microsoft.com с кириллическим "O"
вообще возможно будет зарегистрировать, ведь, а принципе, такое имя
с добрыми намерениями никто себе столбить не станет? То есть я к тому,
что если регистрируют хорошо намоленное имя, то почти наверняка с
целью подлога.
Re: это как?
no subject
Оцените: http://www.compulenta.ru/2004/1/29/44785/
Re:
no subject
Что же касается интернациональных URLов, то использование их для подделки веб-сайтов упирается в вопрос интернационализации DNS, который, насколько мне известно, так до сих пор и не решён удовлетворительно. Мне неизвестно ни о каких широкомасштабных попытках обмануть пользователей, перенаправляя их на адреса типа указанного тобой (в то время как описанный мной выше баг как раз использовался и используется для таких атак). Когда опасность таких атак станет реальной, конечно же, можно будет найти другое, нормальное решение проблемы похожих символов в разных алфавитах (например, визуально отмечая в браузере URLы, использующие не-латинские символы, или символы из разных алфавитов; а также включая возможность запретить такие URLы в опциях секьюрити браузера). Уверен, что в ту пору чудесную даже Майкрософт попробует воплотить такие технические решения, вместо того, чтобы просить юзеров перенабирать руками любой URL, в котором они не уверены.
no subject
Microsoft пишет: Caution The following information provides general guidelines based on well-known attacks. Because attacks change constantly, malicious users could create spoofed Web sites by using means other than those that are described here.
Продолжать? Продолжаем. Ты имеешь в виду, видимо, вот эту дырку:
For example, a URL of the following form will open http://example.com, but the URL in the Address bar or the Status bar in Internet Explorer may appear as http://www.wingtiptoys.com:
http://www.wingtiptoys.com%01@example.com
Да, это баг. Да, он наверняка будет скоро починен. Но:
1. Останется множество юзеров с по разным причинам непочиненым браузером, и их надо бы предупредить.
2. Допустим, во всех остальных браузерах такого бага нет. Все равно 99.999% пользователей купятся на URL такого вида. Ты не согласен? Этих пользователей не надо предупредить? Заметь, что помимо ручного ввода адреса (который приведен ближе к концу статьи) там приведено еще несколько способов проверки того, что пользователь пришел на правильный сайт.
Ох...
no subject
Re:
Re:
Re:
no subject
Ага. Но ни слова об интернациональных URLах здесь нет. Вообще никаких широкомасштабных атак с их использованием не было. И не предвидится в ближайшем будущем. Наконец, они менее опасны, чем баги с неправильным отоборажением URLов в поле адреса, т.к. поддельные, похожие на "Microsoft" имена Майкрософт может оспаривать и отбирать через систему арбитрации доменов (и регулярно этим занимается), а в случае бага настоящая страница находится на сайте, который по написанию на "microsoft.com" совершенно не похож.
Короче говоря, твоё упоминание вопроса интернационализации никакого отношения к данной статье Майкрософт и к обсуждаемой проблеме не имеет.
1. Останется множество юзеров с по разным причинам непочиненым браузером, и их надо бы предупредить.
А кто сказал, что не нужно предупреждать? Я высмеиваю советы набирать руками любой URL, в котором юзер не уверен, а не саму идею предупреждения о проблемах такого рода.
2. Допустим, во всех остальных браузерах такого бага нет. Все равно 99.999% пользователей купятся на URL такого вида. Ты не согласен? Этих пользователей не надо предупредить? Заметь, что помимо ручного ввода адреса (который приведен ближе к концу статьи)
Ручной ввод адреса приведен в самом начале статьи и является первым советом пользователям большинства веб-сайтов (перед ним ещё есть совет проверять замочек, но ясно, что количество сайтов, бегущих на SSL, и их посетителей, ничтожно по сравнению с сайтами/посетителями всего веба).
no subject
Справедливо. Я привел их в качестве примера атаки, которой будут подвержены все браузеры. В статье же описываются все атаки подобного рода (соответственно, советы, перечисленные в статье, касаются и этой атаки).
Вообще никаких широкомасштабных атак с их использованием не было. И не предвидится в ближайшем будущем.
Мне кажется, что как только будет технологическая база (т.е. поддержка DNS), такие атаки не замедлят появиться. Мог ли ты предположить 4 дня назад, чем будешь заниматься в течении последующих 2-х дней? :)
т.к. поддельные, похожие на "Microsoft" имена Майкрософт может оспаривать и отбирать через систему арбитрации доменов
Разумеется. Проблема в том, что пока домейн отберут, на него миллионы пользователей купятся.
а в случае бага настоящая страница находится на сайте, который по написанию на "microsoft.com" совершенно не похож
Как я уже писал, 99.999% пользователей купятся на подобный адрес и без бага. Пользователь не является парсером адресов.
А кто сказал, что не нужно предупреждать? Я высмеиваю советы набирать руками любой URL, в котором юзер не уверен, а не саму идею предупреждения о проблемах такого рода.
В статье дается _несколько_ советов, далее пользователь может выбрать тот способ, который ему больше подходит. Кстати, ты бы пошел по линку на сайт своего банка? Я - нет. Набрал бы ручками.
Ручной ввод адреса приведен в самом начале статьи
Ты путаешь саму статью и Summary.
Re:
Я, откровенно говоря, не очень в курсе, но насколько я знаю, никакой специальной поддержки в DNS не нужно. Есть punycode (http://www.rfc-editor.org/rfc/rfc3490.txt), правила по которым интернационализированное имя преобразовывается в ASCII с префиксом xn--, и всё.
Проблема в том, что пока домейн отберут, на него миллионы пользователей купятся.
Ну, если говорить о сертификатах, то в них самое важное не домен, а организация, которой он выдан. Ни один сертификатор, находясь в здравом уме, не выдаст сертификат корпорации Microsoft с киррилическим "о" в названии; кроме того ни в одной стране такая корпорации не будет зарегистрирована.
Re:
Вы, безусловно, правы. Проблема, однако, в том, что:
1. Большая часть пользователей ВООБЩЕ не знает, что такое SSL.
2. Те из них, кто знают - как правило не знают, как он работает. Так что если им браузер выдаст окошко с надписью "This certificate was signed by an unknown CA. Do you wish to install a new root CA certificate?" он ничтоже сумняшеся нажмет на "Yes". Аналогично с сообщением "The name in the certificate does not match the domain name". Он просто не будет знать, что делать, и скорее всего согласится. А тогда весь смысл сертификатов теряется. Я Вам больше скажу. Есть множество солидных фирм (в том числе одна из крупнейших брокерских фирм), у которых имя в сертификате не соответствует имени их домейна. Они даже не поняли что я от них хочу, когда я им об этом сообщил.
А по поводу регистрации сертификата - на Майкрософт, наверное, не выдадут. А на какую-нибудь менее известную фирму может и выдадут.
Что же касается DNS, насколько я знаю, стандарта (даже де-факто) еще нет, есть только разные feasibility tests.
Приятно было в этой дискуссии наконец-то поговорить о деле.
Re:
Но в статье же не говорится, скажем, "обращайте особое внимание на URLы, ведущие на сервисы, содержащие Вашу конфиденциальную информацию, в том числе финансовую. Заслуживают подозрения ссылки на такие ресурсы, содержащиеся в пришедшим к Вам по почте письмам, или на веб-сайтах, никакого отношения к данным сервисам не имеющих" итп. Такие советы могли бы быть полезными, действительно.
Совет набирать руками все ссылки, к которым у пользователя нет доверия, совершеннп абсурден и лишён всякого смысла (и пользы). Единственный реальный от него результат - то, что энное количество глупых юзеров начнут вообще все ссылки вбивать от руки, вместо того, чтобы нажимать на них.
О том, что лучше вместо такого совета было бы патч привести, уже писали.
Ты путаешь саму статью и Summary.
Какая разница? Так или иначе, это то, что читатель данного документа прочтёт в самом начале.
no subject
no subject
Re:
Re:
CTAKAH.COM
На каком языке это написано? Я это написал латинскими буквами.
Re:
no subject