Chip 2003 April

home *** CD-ROM | disk | FTP | other *** search

/ Chip 2003 April / Chip_2003-04_cd1.bin / tema / krypta / articles.php@ID=162 < prev next >

Wrap

Text File | 2003-02-02 | 17.3 KB | 378 lines

<!doctype html public "-//W3C//DTD HTML 4.0 Transitional//EN"> <html> <head> <title>Krypta.cz - BezpeΦnostnφ nedostatky i na presti₧nφch zpravodajsk²ch webech z oblasti ICT</title> <link rel="StyleSheet" href="server/main.css" type="text/css"> <link rel="SHORTCUT ICON" href="server/favicon.ico"> <meta http-equiv="Content-Type" content="text/html; charset=windows-1250"> <meta http-equiv="Cache-control" content="no-cache"> <meta http-equiv="Pragma" content="no-cache"> <meta http-equiv="Expires" content="0"> <meta name="robots" content="ALL,FOLLOW"> <meta http-equiv="Content-language" content="cs"> <meta name="description" content="Internetov² bezpeΦnostnφ portßl, zab²vajφcφ se kryptografiφ (Üifrovßnφm), ochranou dat, internetovou bezepeΦnostφ a poΦφtaΦov²mi viry"> <meta name="keywords" content="Üifrovßnφ cryptography pgp des aes rsa dss digital signatures pki linux free bezpeΦnost ochrana hacking cracking virus worm"> <meta name="copyright" content="Copyright (C) 2000-2002 Krypta.cz - <a href=mailto:michal.till@krypta.cz>Michal Till</a> a <a href=mailto:jan.kulveit@krypta.cz>Jan Kulveit</a>.">   <script language="JavaScript">  </script>  <script language="JavaScript" type="text/javascript">  </script> <noscript> <img style="position:absolute; top:0px; left: 0px;" src="../hit.navrcholu.cz/hit@id=00039669;n=1" width="1" height="1" alt="" border="0"> </noscript>  <STYLE Type=text/css> BODY { font-size:110%; background-color: #ffffff; color: #000000; margin: 0px; background-image: url(images/backgr.gif); } .Copyright { color: #000000; } .Copyright A { color: #000000; } </STYLE> </head> <SCRIPT> </SCRIPT><SCRIPT Src=charts.php@version=1621></SCRIPT><SCRIPT> // Nalezeno 1 polozek. var SectionTitles=new Array( "BezpeΦnostnφ nedostatky i na presti₧nφc" ); var SectionURLs=new Array( "162" ); var BrothersNames = new Array("Reklama versus ochrana soukromφ v IE6","Creative obvin∞n ze sledovßnφ u₧ivatel∙","The Register o anonymit∞","Webtiming attack : dφra do webovΘho soukromφ?","Velkß dφra do soukromφ pomocφ Media Playeru ve Windows XP","BezpeΦnostnφ nedostatky i na presti₧nφch zpravodajsk²ch webech z oblasti ICT","Internetovß anonymita - je Φi nenφ?","Zero-knowledge proofs (I.)",""); var BrothersIDs = new Array("47","48","98","108","126","162","175","218",""); //=====INFO====== ItemName='Article162'; InIFrame='No'; TableNum=2; ItemID=162; ArticleType='14'; Action='articles' ItemTitle='BezpeΦnostnφ nedostatky i na presti₧nφch zpravodajsk²ch webech z oblasti ICT'; ItemComment='BezpeΦnostnφ nedostatky i na presti₧nφch zpravodajsk²ch webech z oblasti ICT'; TabName='Articles' Parent1Title='Anonymita na internetu' ; Parent2Title='BezpeΦnost a anonymita' ; Parent1ID='12' ; Parent2ID='9' ; ParentTitle='Anonymita na internetu' ; AuthorName='Redakce ' ; AuthorDesc='' ; AuthorEMail='redakce_40krypta.cz' ; AuthorID='12' ; ItemDate='14.3.2002'; Views='582' ; Average='2.50' ; Grade='2.5' ; NumVotes='6' ; SourceName='' ; SourceURL='' ; SourceLink='' ; Ref1URL='' ; Ref2URL='' ; Ref3URL='' ; Ref4URL='' ; Ref5URL='' ; Ref1Link='' ; Ref2Link='' ; Ref3Link='' ; Ref4Link='' ; Ref5Link='' ; Ref1Desc='' ; Ref2Desc='' ; Ref3Desc='' ; Ref4Desc='' ; Ref5Desc='' ; Possible=1 ; Answer1='' ; Answer2='' ; Answer3='' ; Answer4='' ; Answer5='' ; Num1=''; Num2=''; Num3=''; Num4=''; Num5=''; Type= ''; //def WebName='Krypta.cz'; //====ENDINFO====== </SCRIPT> <BODY> </SCRIPT> <SCRIPT Language=JavaScript Src="server/startfeatures.php@Rand=ddd "> </SCRIPT><SCRIPT Language=JavaScript Src="server/features.php"> </SCRIPT> <TABLE cellspacing="0" cellpadding="0" border="0" width="100%"> <tr>  <td width="161" align="center" valign="top"> <img src=space.gif height=1 width=161> <SCRIPT SRC=server/left_js.php@version=1621></SCRIPT></td>   <td width=13 bgcolor="#006792" ><img src="images/spacer.gif" width="13" height="1" border="0" alt=""></td>   <td width=1 bgcolor=#1063A5><img src="images/spacer.gif" width="1" height="1" border="0" alt=""></td>   <td width=10><img src="images/spacer.gif" width="10" height="1" border="0" alt=""></td>   <td align="center" valign="top">   <TABLE cellspacing="0" cellpadding="0" border="0" width="100%" class="hrlista"> <tr>  <td VAlign=Top> <a href="default.htm"><img src="images/logo.gif" style="z-index:100;" vspace=0 cwidth="222" cheight="48" border="0" alt="Krypta.cz - Magazφn o informaΦnφ bezpeΦnosti"></a> </td>  <td align=center> </td></tr></table>   <TABLE Width=100% Border=0><TD><SCRIPT> </SCRIPT><SCRIPT> ArticleHead('BezpeΦnostnφ nedostatky i na presti₧nφch zpravodajsk²ch webech z oblasti ICT', 'Redakce ', 'redakce_40krypta.cz', '14.3.2002', '01:30:00', 'Tiskovß zprßva'); Intro('(tiskovß zprßva) T²mu serveru Krypta.cz se poda°ilo objevit chyby bezpeΦnostnφho rßzu v redakΦnφch systΘmech, kterΘ pou₧φvajφ n∞kterΘ presti₧nφ ΦeskΘ zpravodajskΘ weby. NalezenΘ slabiny jsou p°itom v principu popsßny u₧ n∞kolik let. Zatφmco v redakΦnφch systΘmech je mo₧n²m v²sledkem zneu₧itφ nap°φklad \"jednom\" absolutnφ ztrßta anonymity Φtenß°∙, kte°φ p°ispφvajφ do diskusφ, hr∙zu by m∞ly budit tisφce drobn²ch internetov²ch obchod∙, kde jde o skuteΦnΘ penφze. '); ArticleBanner_smallres('margin-bottom:10px;margin-top:-3px;'); </SCRIPT> <DIV Class=Article><SCRIPT> AuthorData(); if (Type != 'Pure') if ((ArticleType!=19) && (ArticleType!=20)) ShowSections(); ArticleBanner_bigres('margin-top:12px;margin-bottom:-3px;'); </SCRIPT><FONT Size=2><DIV Align=Justify Class=Paragraph> P°edevÜφm byl objeven nedostatek, kter² spoΦφvß v mo₧nosti vlo₧enφ "inteligentnφho" k≤du do cizφ strßnky (cross-site scripting). InternetovΘ prohlφ₧eΦe, jako nap°φklad Internet Explorer, pou₧φvajφ p°itom k zabezpeΦenφ koncepci "stejnΘ adresy serveru". Strßnky z jednΘ adresy majφ stejnß bezpeΦnostnφ oprßvn∞nφ. Vlo₧enφm k≤du do jednΘ strßnky dojde k "uko°ist∞nφ" celΘ pou₧φvanΘ domΘny, a k p°eΦtenφ cookies. PotΘ je mo₧nΘ zφskanΘ informace odeslat na ·toΦnφk∙v server, pop°φpad∞, je-li k tomu d∙vod, se dß obsah takto ulo₧en²ch prom∞nn²ch i p°epsat. Pro vklßdßnφ "·toΦnΘho" k≤du se nejΦast∞ji vyu₧φvß modifikace n∞kterΘho parametru skriptu, kter² strßnku generuje. </DIV></FONT></b></i> <FONT Size=2><DIV Align=Justify Class=Paragraph> Hlavnφm nalezen²m problΘmem, vedoucφm k ohro₧enφ u₧ivatel∙, je ale uklßdßnφ rozliΦn²ch informacφ do cookies. V p°φpad∞, ₧e Φtenß° vyu₧ije diskusnφch f≤r pod Φlßnky, si servery Φasto pro zv²Üenφ pohodlφ Φtenß°e uklßdajφ jmΘna, e-mailovou adresu, webovou adresu a dalÜφ ·daje. Bohu₧el ani jeden testovan² redakΦnφ systΘm nenabφzφ u₧ivateli mo₧nost ·daje neuklßdat. N∞kterΘ servery mφsto nich uklßdajφ jen unikßtnφ identifikaΦnφ °et∞zec, nicmΘn∞ stejnΘho v²sledku lze pak dosßhnout pou₧itφm DHTML. VÜechny zmφn∞nΘ ·daje pak m∙₧e p°eΦφst kdokoli. ╚tenß°, kter² alespo≥ jedou okomentoval n∞jak² Φlßnek, se tak pohybuje po internetu s jednoznaΦnou visaΦkou, obsahujφcφ v∞tÜinou jmΘno. </DIV></FONT></b></i> <FONT Size=2><DIV Align=Justify Class=Paragraph> Pro ilustraci je snad vhodn∞jÜφ p°φklad - Φtenß° vyu₧ije mo₧nosti, p°isp∞t do diskuse pod Φlßnkem na serveru, °ekn∞me, nebezpecnezpravy.cz. Sv∙j p°φsp∞vek podepφÜe sv²m jmΘnem, nap°φklad "Jan Novßk, novak@email.cz". Od toho okam₧iku mß majitel ka₧dΘ webovΘ strßnky, kterou pan Novßk navÜtφvφ, mo₧nost zφskat jeho a e-mailovou adresu. Pan Novßk m∙₧e navÜt∞vovat n∞jakou strßnku s nelegßlnφm obsahem, nap°φklad detskeporno.com, v domn∞nφ, ₧e je anonymnφ. To ale nenφ pravda - majitel pornografickΘ strßnky m∙₧e snadn²m zp∙sobem zjistit, ₧e "anonymnφ nßvÜt∞vnφk" je prßv∞ pan Novßk, kter² psal na nebezpecnezpravy.cz, a mohl by jej nap°φklad vydφrat. Pan Novßk je ale ohro₧en, i pokud ₧ßdnΘ "problematickΘ" strßnky nenavÜt∞vuje - kdy₧ mß ka₧d² mo₧nost zjistit jeho e-mailovou adresu, m∙₧e ve schrßnce oΦekßvat zßplavu nevy₧ßdanΘ reklamnφ poÜty. </DIV></FONT></b></i> <FONT Size=2><DIV Align=Justify Class=Paragraph> Samo uklßdßnφ osobnφch ·daj∙ u u₧ivatele je v∞c p°inejmenÜφm spornß, nebo¥ Üpatn∞ oÜet°enΘ zachßzenφ s cookies je jednou z Φast²ch bezpeΦnostnφch chyb internetov²ch prohlφ₧eΦ∙. Vlastnosti ulo₧en²ch cookies jsou v systΘmech zvoleny velmi nevhodn∞, jejich kup°φkladu domΘna je mimo serveru Root.cz v₧dy nastavena zcela zbyteΦn∞ na cel² server. Nejh∙°e jsou na tom servery n∞co.idnes.cz. Jednak sdφlφ personifikaΦnφ ·daje v₧dy mezi sebou, jednak majφ nastavenou dobu platnosti na 20 let, tak₧e jednou "oznaΦkovan²" vystavuje svΘ osobnφ ·daje natrvalo. </DIV></FONT></b></i> <FONT Size=2><DIV Align=Justify Class=Paragraph> TestovanΘ servery navφc, jak se zdß, zatφm ignorujφ internetov² standard na ochranu soukromφ P3P, kter² by m∞l p°φpadnΘ zneu₧φvßnφ t∞chto technik omezit. Jak ji₧ bylo °eΦeno, nastavenφ ·rovn∞ ochrany identifikaΦnφch ·daj∙ v prohlφ₧eΦi na hodnotu "VyÜÜφ" je zatφm jedinß mo₧nost, jak tato data ochrßnit (dφky absenci P3P pravidel budou ignorovßna). </DIV></FONT></b></i> <FONT Size=2><DIV Align=Justify Class=Paragraph> P°φkladem budi₧ server Interval.cz, kter² si ·daje o Φtenß°φch uklßdß takΘ, ovÜem na rozumnou dobu jednoho m∞sφce. P°itom takΘ nebyla zjiÜt∞na chyba WWW aplikace, kterß by mohla b²t zneu₧ita. </DIV></FONT></b></i> <FONT Size=2><DIV Align=Justify Class=Paragraph> Do dneÜnφho dne byla popisovanß chyba objevena na nßsledujφcφch webech </DIV></FONT></b></i> <FONT Size=2><DIV Align=Justify Class=Paragraph> <UL STYLE="margin-right:50px;" Class=LinkItem><LI> www.root.cz</UL> </DIV></FONT></b></i> <FONT Size=2><DIV Align=Justify Class=Paragraph> <UL STYLE="margin-right:50px;" Class=LinkItem><LI> www.lupa.cz</UL> </DIV></FONT></b></i> <FONT Size=2><DIV Align=Justify Class=Paragraph> <UL STYLE="margin-right:50px;" Class=LinkItem><LI> www.idnes.cz (jakßkoliv subdomΘna, vΦetn∞ b²v. </UL> </DIV></FONT></b></i> <FONT Size=2><DIV Align=Justify Class=Paragraph> <UL STYLE="margin-right:50px;" Class=LinkItem><LI> www.fincentrum.cz, chyba naopak nebyla zjiÜt∞na u server∙ www.mobil.cz a www.technet.cz)</UL> </DIV></FONT></b></i> <FONT Size=2><DIV Align=Justify Class=Paragraph> <UL STYLE="margin-right:50px;" Class=LinkItem><LI> www.zive.cz, www.zive.sk</UL> </DIV></FONT></b></i> <FONT Size=2><DIV Align=Justify Class=Paragraph> <UL STYLE="margin-right:50px;" Class=LinkItem><LI> www.mobilmania.cz</UL> </DIV></FONT></b></i> <FONT Size=2><DIV Align=Justify Class=Paragraph> Provozovatel∙m web∙ byl dßn dostateΦn² Φas na opravu a nap°φklad root.cz velmi rychle a profesionßln∞ chybu opravil. </DIV></FONT></b></i> <FONT Size=2><DIV Align=Justify Class=Paragraph> Za t²m serveru Krypta.cz Michal Till <Michal.Till@krypta.cz>, ÜΘfredaktor Krypta.cz </DIV></FONT></b></i> </DIV> <SCRIPT> TextEnd('') </SCRIPT><SCRIPT> o('<br>'); hr(''); o('<TABLE '+CP+' '+CS+' style=\'position:relative;top:-'+sw('7','9')+'px;z-index:5\' xAlign=left '+B+'><TR><TD width=10><img HEIGHT=18 WIDTH=14 src=images/downgreyleft.gif hspace=0 vspace=0 '+B+' align=right><TD bgcolor=#E0E0E0><SPAN Style="font-size:12px;color:#000000;font-family:Verdana, Arial, Sans-Serif;position:relative;top:-2px;">Souvisejφcφ člßnky</SPAN><TD width=10><img src=images/downgreyright.gif width=17 height=18 hspace=0 vspace=0 '+B+' '+AL+'></TABLE>'); </SCRIPT><OL Class=None Type=Disc><LI style='margin-left:20px;' class=LinkItem><a href=articles.php@ID=122><SPAN Class=SeeAlso>PφÜeme bezpeΦnou webovou aplikaci - dφl 1.</SPAN></a><LI style='margin-left:20px;' class=LinkItem><a href=articles.php@ID=231><SPAN Class=SeeAlso>Webovß autorizace snadno a rychle</SPAN></a><LI style='margin-left:20px;' class=LinkItem><a href=articles.php@ID=170><SPAN Class=SeeAlso>Krypta.cz nabφzφ vÜem zdarma generßtor P3P pravidel podle standardu W3C</SPAN></a><LI style='margin-left:20px;' class=LinkItem><a href=articles.php@ID=70><SPAN Class=SeeAlso>Standart ochrany soukromφ P3P</SPAN></a><LI style='margin-left:20px;' class=LinkItem><a href=articles.php@ID=80><SPAN Class=SeeAlso>Krademe cookies v Exploreru : krok za krokem</SPAN></a><LI style='margin-left:20px;' class=LinkItem><a href=articles.php@ID=74><SPAN Class=SeeAlso>Microsoftu hackli Passport</SPAN></a></OL><SCRIPT> nie('<br>');AdditionalTablesBegin(); CommentsBegin('BezpeΦnostnφ nedostatky i na presti₧nφch zpravodajsk²ch webech z oblasti ICT',7); Comment('97',' <IMG Src=images/sub.gif valign=top> No to je ale hloupost','O niΦem','11'); Comment('98',' <IMG Src=images/sub.gif valign=top> Re: No to je ale hloupost','Jan Kulveit','11'); Comment('100',' <IMG Src=images/sub.gif valign=top> Re: No to je ale hloupost','Michal Till','11'); Comment('101',' <IMG Src=images/sub.gif valign=top> P∞kn² Φlßnek','Zden∞k Polßch','11'); Comment('102',' <IMG Src=images/sub.gif valign=top> ZabezpeΦenφ diskusφ a uklßdßnφ dat','Patrick Zandl','11'); Comment('106',' <IMG Src=images/sub.gif valign=top> clanek + dotaz','Dagi','11'); Comment('107',' <IMG Src=images/sub.gif valign=top> Re: clanek + dotaz','Michal Till','11'); CommentsEnd(); </SCRIPT><SCRIPT> ArticleEnd() </SCRIPT></TABLE>   <td width=5><img src="images/spacer.gif" width="5" height="1" border="0" alt=""></td>   <td width=1 bgcolor=#1063A5><img src="images/spacer.gif" width="1" height="1" border="0" alt=""></td>   <td width=13 bgcolor="#006792" ><img src="images/spacer.gif" width="13" height="1" border="0" alt=""></td>   <td bgcolor=#006792 width="0" align="center" valign="top"> <SCRIPT SRC=server/right_js.php@version=1621></SCRIPT><br> </td>  </tr>  <tr> <td bgcolor=#000000><img src=space.gif height=1 width=1></td> <td bgcolor=#000000></td> <td bgcolor=#000000></td> <td bgcolor=#FFFFFF></td> <td bgcolor=#FFFFFF></td> <td bgcolor=#FFFFFF></td> <td colspan=5 bgcolor=#000000></td> </tr> <tr bgcolor=#FFFFFF> <td><img src=space.gif height=20 width=1></td> <td></td> <td></td> <td></td> <td></td> <td></td> <td colspan=5></td> </tr>  </table>  <SCRIPT> Exec(ToExecute); ToExecute=""; </SCRIPT>   <TABLE cellspacing="0" cellpadding="0" border="0" width="100%" bgcolor=#ffffff> <TR><td colspan=5 align="center" bgcolor=#000000><img src=space.gif height=1 width=1></td></TR> <TR bgcolor=#f0f0f0> <td align="center"> <IMG Src=images/logo2.gif hspace=10 vspace=5> </td> <td> <DIV Style="margin-top:4px;margin-bottom:4px;" Class=Copyright><FONT Face=Arial Size=1> <b><u>Krypta.cz</u></b> - Magazφn o informaΦnφ bezpeΦnosti.<br> Copyright (C) 2000-2002 Krypta.cz - <a href=mailto:michal.till@krypta.cz>Michal Till</a> a <a href=mailto:jan.kulveit@krypta.cz>Jan Kulveit</a>. VÜechna prßva vyhrazena. <br> Tento server dodr₧uje prßvnφ p°edpisy o ochran∞ osobnφch ·daj∙, vΦetn∞ standardu P3P (<a href=server/policy.xml>policy</a>). </FONT></DIV> </td> <td> <IMG Src=geronimo.gif hspace=10 vspace=5> </td> <td> <DIV Style="margin-top:4px;margin-bottom:4px;" Class=Copyright><FONT Face=Arial Size=1> RedakΦnφ systΘm Geronimo<br> Copyright (C) 2001-2002 <a href=mailto:michal.till@krypta.cz>Michal Till</a> </FONT></DIV> </td> </td></tr></table>   </body> </html>