Donderdag,
10:05
Totaal aantal stemmen: 1323
Plaats een reactieReactie niet OK
Je hebt aangegeven dat de volgende reactie niet thuishoort op Security.NL:
Geef de reden op waarom je deze reactie niet OK vindt: (optioneel)
- Home
- |
- Nieuws
- |
- Forum
- |
- Columns
- |
- Achtergrond
- |
- Poll
- |
- Dossiers
- |
- Evenementen
- |
- Nieuwsbrief
Login
Podcast maandag 8 maart
Beveiligingssoftware voor datacentra is hard nodig en burgemeesters missen
de stemcomputer, zo hoor je deze week in de podcast.
12 t/m 15 apr 2010, Barcelona
13 t/m 18 jun 2010, Miami
01 t/m 02 jul 2010, Amsterdam
29 jul t/m 01 aug 2010, Las Vegas
24 t/m 25 sep 2010, Evere (Brussel)
Erik, bij mijn installatie blijft ie gewoon staan hoor.. Als
ik de browser afsluit en weer opstart (ik heb vandaag zelfs
de computer uitegehad), de instelling staat nog steeds op
false.
Inderdaad. Maar het probleem is dat ie dan NIET meer werkt,
d.w.z. bij mij en anderen op internet. Je kunt nooit
uitsluiten dat bijv. de windows versie, taal en de locatie
van bestanden hier invloed op heeft, en het bij jou wel
werkt. Laat je 't hier even weten?
Uitleg: je hebt hem zelf op false gezet. Tijdens die
sessie van Firefox had dat het gewenste effect, als je naar
de Secunia demo ging werd de fake paypal site geblokkeerd.
Echter, als je vervolgens alle Firefox windows sluit en er
dan weer eentje opent, en daarmee opnieuw naar de Secunia
site gaat, verschijnt de fake paypal site weer WEL! Terwijl,
zoals je zelf opmerkt, de instelling (in prefs.js)
niet veranderd is.
Dus, los van het feit of het tonen van een site met
"moeilijke" karakters wel of geen bug is, het is ZEKER een
bug dat een browserinstelling (in prefs.js) fout (of geheel
niet) geinterpreteerd wordt na een herstart van die
browser. Ik vind dit echter geen kritische bug, want
er is absoluut geen sprake van remote code execution o.i.d.
N.B. de oorspronkelijke demo
(http://www.shmoo.com/idn/) lijkt uit de lucht te
zijn gehaald; Paypal zal het misbruik van z'n naam wel
hebben aangevochten. Vooral de demo met slotje, gele URL
balk en geldig certificaat (doch afwijkende hostname) was
erg overtuigend.
Mocht mijn vorige post suggereren dat het tonen van de
spoofed paypal site een browserbug is, al dan niet met
slotje en certificaat, dan neem ik die bij deze terug. In
tegenstelling tot de MSIE procent 001 bug, is dit "probleem"
eerder vergelijkbaar met het verschil tussen whitehouse.com
en whitehouse.gov, resp. slashdot.net en slashdot.org. Het
is hooguit een windows bug als bepaalde karakters niet of
anders worden getoond dan zou moeten.
Probleem is wel dat onervaren surfers zo makkelijk misleid
kunnen worden, vergelijkbaar met kleine lettertjes in een
koop- en verzekeringsaktes, of een dief die liegt dat ie
meteropnemer is. In webbrowsers kunnen we mogelijkerwijs
technische maatregelen verzinnen die het probleem
verzachten, maar die blijken in de praktijk vaak makkelijk
te omzeilen.
In elk geval zullen we gebruikers nog beter moeten opvoeden:
vertrouw niet blind op het slotje in je browser. Er zijn,
ook in IE, meerdere truuks bekend (o.a. met overlappende
plaatjes) die je kunnen foppen. Bekijk ALTIJD het
certificaat voordat je een creditcard nummer of een
belangrijk password etc. invult op een website!
Erik van Straten