![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
avva![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
dimrub.livejournal.com - (no subject)gmz.livejournal.com - (no subject)tom-ohawk.livejournal.com - это как?dimrub.livejournal.com - Re: это как?avva.livejournal.com - (no subject)dimrub.livejournal.com - (no subject)dimrub.livejournal.com - (no subject)dimrub.livejournal.com - (no subject)gmz.livejournal.com - (no subject)avva.livejournal.com - (no subject)dimrub.livejournal.com - (no subject)dimrub.livejournal.com - (no subject)gmz.livejournal.com - (no subject)dimrub.livejournal.com - (no subject)haraz-bey.livejournal.com - (no subject)haraz-bey.livejournal.com - (no subject)rydel23.livejournal.com - Re:tejblum.livejournal.com - Re:ex-inn903.livejournal.com - Re:dimrub.livejournal.com - Re:dimrub.livejournal.com - Re:dimrub.livejournal.com - Re:dimrub.livejournal.com - (no subject)ex-inn903.livejournal.com - Re:haraz-bey.livejournal.com - Re:avva.livejournal.com - Re:sobaker.livejournal.com - (no subject)dimrub.livejournal.com - Re:dimrub.livejournal.com - Re:dimrub.livejournal.com - Re:ex-inn903.livejournal.com - Re:dimrub.livejournal.com - Re:haraz-bey.livejournal.com - Re:dimrub.livejournal.com - Re:timeasmymeasure
no subject
Date: 2004-01-28 03:14 pm (UTC)no subject
Скоро от Мелкомягких мир дождётся совета не пользоваться e-mail, а вместо этого писать письма на бумаге и отправлять по почте.
это как?
Date: 2004-01-28 03:28 pm (UTC)неужли такое доменное имя, да, именно microsoft.com с кириллическим "O"
вообще возможно будет зарегистрировать, ведь, а принципе, такое имя
с добрыми намерениями никто себе столбить не станет? То есть я к тому,
что если регистрируют хорошо намоленное имя, то почти наверняка с
целью подлога.
Re: это как?
Date: 2004-01-28 03:36 pm (UTC)no subject
Date: 2004-01-28 03:38 pm (UTC)Что же касается интернациональных URLов, то использование их для подделки веб-сайтов упирается в вопрос интернационализации DNS, который, насколько мне известно, так до сих пор и не решён удовлетворительно. Мне неизвестно ни о каких широкомасштабных попытках обмануть пользователей, перенаправляя их на адреса типа указанного тобой (в то время как описанный мной выше баг как раз использовался и используется для таких атак). Когда опасность таких атак станет реальной, конечно же, можно будет найти другое, нормальное решение проблемы похожих символов в разных алфавитах (например, визуально отмечая в браузере URLы, использующие не-латинские символы, или символы из разных алфавитов; а также включая возможность запретить такие URLы в опциях секьюрити браузера). Уверен, что в ту пору чудесную даже Майкрософт попробует воплотить такие технические решения, вместо того, чтобы просить юзеров перенабирать руками любой URL, в котором они не уверены.
no subject
Date: 2004-01-28 03:50 pm (UTC)Microsoft пишет: Caution The following information provides general guidelines based on well-known attacks. Because attacks change constantly, malicious users could create spoofed Web sites by using means other than those that are described here.
Продолжать? Продолжаем. Ты имеешь в виду, видимо, вот эту дырку:
For example, a URL of the following form will open http://example.com, but the URL in the Address bar or the Status bar in Internet Explorer may appear as http://www.wingtiptoys.com:
http://www.wingtiptoys.com%01@example.com
Да, это баг. Да, он наверняка будет скоро починен. Но:
1. Останется множество юзеров с по разным причинам непочиненым браузером, и их надо бы предупредить.
2. Допустим, во всех остальных браузерах такого бага нет. Все равно 99.999% пользователей купятся на URL такого вида. Ты не согласен? Этих пользователей не надо предупредить? Заметь, что помимо ручного ввода адреса (который приведен ближе к концу статьи) там приведено еще несколько способов проверки того, что пользователь пришел на правильный сайт.
Ох...
no subject
Date: 2004-01-28 03:53 pm (UTC)no subject
Date: 2004-01-28 03:55 pm (UTC)no subject
Date: 2004-01-28 04:06 pm (UTC)no subject
Date: 2004-01-28 04:08 pm (UTC)Ага. Но ни слова об интернациональных URLах здесь нет. Вообще никаких широкомасштабных атак с их использованием не было. И не предвидится в ближайшем будущем. Наконец, они менее опасны, чем баги с неправильным отоборажением URLов в поле адреса, т.к. поддельные, похожие на "Microsoft" имена Майкрософт может оспаривать и отбирать через систему арбитрации доменов (и регулярно этим занимается), а в случае бага настоящая страница находится на сайте, который по написанию на "microsoft.com" совершенно не похож.
Короче говоря, твоё упоминание вопроса интернационализации никакого отношения к данной статье Майкрософт и к обсуждаемой проблеме не имеет.
1. Останется множество юзеров с по разным причинам непочиненым браузером, и их надо бы предупредить.
А кто сказал, что не нужно предупреждать? Я высмеиваю советы набирать руками любой URL, в котором юзер не уверен, а не саму идею предупреждения о проблемах такого рода.
2. Допустим, во всех остальных браузерах такого бага нет. Все равно 99.999% пользователей купятся на URL такого вида. Ты не согласен? Этих пользователей не надо предупредить? Заметь, что помимо ручного ввода адреса (который приведен ближе к концу статьи)
Ручной ввод адреса приведен в самом начале статьи и является первым советом пользователям большинства веб-сайтов (перед ним ещё есть совет проверять замочек, но ясно, что количество сайтов, бегущих на SSL, и их посетителей, ничтожно по сравнению с сайтами/посетителями всего веба).
no subject
Date: 2004-01-28 04:23 pm (UTC)Справедливо. Я привел их в качестве примера атаки, которой будут подвержены все браузеры. В статье же описываются все атаки подобного рода (соответственно, советы, перечисленные в статье, касаются и этой атаки).
Вообще никаких широкомасштабных атак с их использованием не было. И не предвидится в ближайшем будущем.
Мне кажется, что как только будет технологическая база (т.е. поддержка DNS), такие атаки не замедлят появиться. Мог ли ты предположить 4 дня назад, чем будешь заниматься в течении последующих 2-х дней? :)
т.к. поддельные, похожие на "Microsoft" имена Майкрософт может оспаривать и отбирать через систему арбитрации доменов
Разумеется. Проблема в том, что пока домейн отберут, на него миллионы пользователей купятся.
а в случае бага настоящая страница находится на сайте, который по написанию на "microsoft.com" совершенно не похож
Как я уже писал, 99.999% пользователей купятся на подобный адрес и без бага. Пользователь не является парсером адресов.
А кто сказал, что не нужно предупреждать? Я высмеиваю советы набирать руками любой URL, в котором юзер не уверен, а не саму идею предупреждения о проблемах такого рода.
В статье дается _несколько_ советов, далее пользователь может выбрать тот способ, который ему больше подходит. Кстати, ты бы пошел по линку на сайт своего банка? Я - нет. Набрал бы ручками.
Ручной ввод адреса приведен в самом начале статьи
Ты путаешь саму статью и Summary.
no subject
Date: 2004-01-28 04:25 pm (UTC)no subject
12.1.1 Visiting a linked resource
The default behavior associated with a link is the retrieval of another Web resource. This behavior is commonly and implicitly obtained by selecting the link (e.g., by clicking, through keyboard input, etc.).
no subject
2. Если верить каждому слову w3c, то Нетскейп, первые разработавшие scripting language for browser, являются злостными нарушителями стандарта, поскольку при нажатии на линк, к которому подключен скрипт, another Web resource не загружается.
3. Сами же написали: through keyboard input
4. Хотите нажимать на линки - пожалуйста. Вы ведь Нетскейпом пользуетесь, ведь не Эксплорером же? Ну так вот, есть множество атак класса той, что приведена (в качестве примера!) в статье, от которых Нетскейп не защищен. Так что когда вместо сайта своего банка попадете на хакерский и Ваши данные попадут к хакерам - пеняйте на себя.
no subject
Date: 2004-01-28 11:39 pm (UTC)no subject
Date: 2004-01-29 12:19 am (UTC)Re:
Date: 2004-01-29 02:14 am (UTC)Re:
Date: 2004-01-29 02:31 am (UTC)Я, откровенно говоря, не очень в курсе, но насколько я знаю, никакой специальной поддержки в DNS не нужно. Есть punycode (http://www.rfc-editor.org/rfc/rfc3490.txt), правила по которым интернационализированное имя преобразовывается в ASCII с префиксом xn--, и всё.
Проблема в том, что пока домейн отберут, на него миллионы пользователей купятся.
Ну, если говорить о сертификатах, то в них самое важное не домен, а организация, которой он выдан. Ни один сертификатор, находясь в здравом уме, не выдаст сертификат корпорации Microsoft с киррилическим "о" в названии; кроме того ни в одной стране такая корпорации не будет зарегистрирована.
Re:
Date: 2004-01-29 03:02 am (UTC)потом расскажете насколько это эффективно
Re:
Date: 2004-01-29 03:06 am (UTC)Re:
Date: 2004-01-29 03:08 am (UTC)Re:
Date: 2004-01-29 03:15 am (UTC)Вы, безусловно, правы. Проблема, однако, в том, что:
1. Большая часть пользователей ВООБЩЕ не знает, что такое SSL.
2. Те из них, кто знают - как правило не знают, как он работает. Так что если им браузер выдаст окошко с надписью "This certificate was signed by an unknown CA. Do you wish to install a new root CA certificate?" он ничтоже сумняшеся нажмет на "Yes". Аналогично с сообщением "The name in the certificate does not match the domain name". Он просто не будет знать, что делать, и скорее всего согласится. А тогда весь смысл сертификатов теряется. Я Вам больше скажу. Есть множество солидных фирм (в том числе одна из крупнейших брокерских фирм), у которых имя в сертификате не соответствует имени их домейна. Они даже не поняли что я от них хочу, когда я им об этом сообщил.
А по поводу регистрации сертификата - на Майкрософт, наверное, не выдадут. А на какую-нибудь менее известную фирму может и выдадут.
Что же касается DNS, насколько я знаю, стандарта (даже де-факто) еще нет, есть только разные feasibility tests.
Приятно было в этой дискуссии наконец-то поговорить о деле.
no subject
Date: 2004-01-29 03:29 am (UTC)Re:
Date: 2004-01-29 03:33 am (UTC)мне не понятно почему вы считаете, что в этом совете здравого смысла больше чем в исправлении ошибки в IE, а вместо этого гениального во всех отношениях совета не написать например "Самый эффективный способ защиты от опасных гиперссылок — это установить вот _этот_ патч"?
Re:
Date: 2004-01-29 03:42 am (UTC)Re:
Date: 2004-01-29 04:55 am (UTC)Но в статье же не говорится, скажем, "обращайте особое внимание на URLы, ведущие на сервисы, содержащие Вашу конфиденциальную информацию, в том числе финансовую. Заслуживают подозрения ссылки на такие ресурсы, содержащиеся в пришедшим к Вам по почте письмам, или на веб-сайтах, никакого отношения к данным сервисам не имеющих" итп. Такие советы могли бы быть полезными, действительно.
Совет набирать руками все ссылки, к которым у пользователя нет доверия, совершеннп абсурден и лишён всякого смысла (и пользы). Единственный реальный от него результат - то, что энное количество глупых юзеров начнут вообще все ссылки вбивать от руки, вместо того, чтобы нажимать на них.
О том, что лучше вместо такого совета было бы патч привести, уже писали.
Ты путаешь саму статью и Summary.
Какая разница? Так или иначе, это то, что читатель данного документа прочтёт в самом начале.
no subject
Date: 2004-01-29 05:46 am (UTC)Оцените: http://www.compulenta.ru/2004/1/29/44785/
Re:
Date: 2004-01-29 06:55 am (UTC)CTAKAH.COM
На каком языке это написано? Я это написал латинскими буквами.
Re:
Date: 2004-01-29 07:05 am (UTC)1. Когда пэтчей много, сложно разобраться, что к чему, и что с чем совместимо
2. Каждый новый, недостаточно проверенный (потому как впопыхах выпущенный) пэтч служит причиной появления десятка следующих.
Поэтому пэтч и не выходит немедленно, а проходит основательное тестирование, и пэтч выпускается не на каждую небольшую проблему (а эта проблема с точки безопасности не ОЧЕНЬ серьезная: по крайней мере есть несколько способов ее обойти), а на несколько сразу.
Это во-первых. Во-вторых, пэтч решит конкретно эту проблему. Он не решит множество других подобных проблем, которые багами НЕ ЯВЛЯЮТСЯ. Поэтому полезно пользователю лишний раз объяснить, как обезопасить себя от возможных проблем.
В-третьих, даже когда патч выйдет, далеко не сразу и не везде он сможет быть установлен. Например - потому, что во многих организациях каждое изменение конфигурации проходит внутренние проверки и сертификацию.
Re:
Date: 2004-01-29 07:07 am (UTC)Re:
Date: 2004-01-29 07:47 am (UTC)в связи с чем очень давно существует волшебная страница windowsupdate.microsoft.com (http://windowsupdate.microsoft.com) которая полностью решает проблему "сложно разобраться"
>2. Каждый новый, недостаточно проверенный (потому как впопыхах выпущенный) пэтч служит причиной появления десятка следующих.
а вы не замечали что в подавляющем большинстве случаев за последние годы это касается только "Microsoft(tm)"??(просто к слову)
>Во-вторых, пэтч решит конкретно эту проблему. Он не решит множество других подобных проблем, которые багами НЕ ЯВЛЯЮТСЯ. Поэтому полезно пользователю лишний раз объяснить, как обезопасить себя от возможных проблем.
а речь и идет конкретно об этой проблеме(malicious hyperlinks). и ручной ввод адреса не решит множество других подобных проблем, которые багами НЕ ЯВЛЯЮТСЯ.
Поэтому и непонятно чем ручной ввод лучше патча
>В-третьих, даже когда патч выйдет, далеко не сразу и не везде он сможет быть установлен. Например - потому, что во многих организациях каждое изменение конфигурации проходит внутренние проверки и сертификацию.
ничтожный срок по сравнению с тем сколько приходится ждать выхода самого патча
Re:
Date: 2004-01-29 08:12 am (UTC)Разумеется, она сильно облегчает жизнь, но никак не полностью решает проблему. Да заяви Майкрософт, что windowsupdate полностью решает какую-либо проблему, среди тех, кто со мной сейчас спорит такой вой поднимется! Разумеется, все еще остается проблема различий в конфигурациях. Чем больше патчей, тем больше вероятность, что произойдет конфликт между новоприбывшим патчем и чем-то, что уже стоит на машине.
>2. Каждый новый, недостаточно проверенный (потому как впопыхах выпущенный) пэтч служит причиной появления десятка следующих.
а вы не замечали что в подавляющем большинстве случаев за последние годы это касается только "Microsoft(tm)"??(просто к слову)
Нет, не замечал, буду благодарен за ссылку с такой информацией. Пока что я посмотрел вот здесь: http://www.cert.org/advisories/
Создается впечатление, что 3 продукта, у которых больше всего "повторных" vulnerabilities - это PHP, Sendmail, OpenSSL (хотя возможно, что многочисленные проблемы, найденные в этих продуктах, не связаны между собой).
а речь и идет конкретно об этой проблеме(malicious hyperlinks). и ручной ввод адреса не решит множество других подобных проблем, которые багами НЕ ЯВЛЯЮТСЯ.
Поэтому и непонятно чем ручной ввод лучше патча
Нет, Вы невнимательно прочитали статью. Конкретная проблема (а именно, то, что после %00 в status bar ничего не видно) является лишь одним проявлением целого класса проблем, подпадающих под категорию "malicious hyperlinks". В частности, точно того же эффекта можно добиться при помощи JavaScript, и еще миллионом способов, от которых никакой патч, повторяю, не спасет, а меры, указанные в статье (из которых ручной ввод - далеко не единственная) - спасут.
>В-третьих, даже когда патч выйдет, далеко не сразу и не везде он сможет быть установлен. Например - потому, что во многих организациях каждое изменение конфигурации проходит внутренние проверки и сертификацию.
ничтожный срок по сравнению с тем сколько приходится ждать выхода самого патча
Еще одно голословное утверждение. Сколько, по-Вашему, длится сертификация в различных организациях и сколько, по-Вашему, предстоит дожидаться патча? Насколько мне известно, на первый вопрос однозначный ответ найти непросто, а на второй - невозможно (по крайней мере, ничего на эту тему объявлено не было).
Re:
Date: 2004-01-30 07:54 am (UTC)Re:
Date: 2004-02-04 05:56 am (UTC)