Nieuws
image

Yahoo beschermt gebruikers met geheime tekst en foto

zondag 20 augustus 2006, 09:36 door Redactie, 4 reacties

Yahoo wil haar gebruikers op een nieuwe manier tegen phishing aanvallen beschermen. Om te voorkomen dat gebruikers hun Yahoo gegevens op een nagemaakte Yahoo site invullen is men een nieuwe oplossing aan het testen. Gebruikers moeten een tekst of afbeelding uploaden die tijdens het inloggen getoond wordt.

Krijgt men de afbeelding of tekst niet te zien, dan is het goed mogelijk dat men op een phishing site zit. Uit onderzoek blijkt dat veel gebruikers niet naar de URL kijken als ze op een website gegevens invullen.

Het Yahoo "sign-in seal" is gekoppeld aan een bepaalde computer. Gebruikers moeten het dan ook op elke PC installeren waar ze van Yahoo gebruik willen maken. Yahoo waarschuwt dat er redenen zijn dat het zegel op legitieme Yahoo login pagina's niet verschijnt. "Als bijvoorbeeld iemand anders achter je computer je zegel heeft verwijderd of gewijzigd. Ook als je cookies of bestanden op je computer verwijderd zijn of je partner een internationale Yahoo site gebruikt." De service werkt op dit moment alleen bij Amerikaanse Yahoo pagina's.

Reacties (4)
20-08-2006, 18:05 door Anoniem
FF:petname tool.
20-08-2006, 21:30 door Bitwiper
Yahoo heeft nog veel te leren.

Ga naar http://login.yahoo.com/ en constateer dat
je daar je ID en je password kunt invullen. Daaronder staat
"Why this is secure".

Why is this not secure? Omdat je uitgenodigd wordt op
een http pagina, dus zonder dat d.m.v. een certificaat (via
SSL) de authenticiteit van de site met behoorlijke zekerheid
is vastgesteld, jouw login-ID en wachtwoord in te vullen. En
erger, omdat "Why this is secure" bij onwetende gebruikers
de indruk wekt dat het wel goed zit.

Door browser bugs of DNS spoofing kun je echter op een
andere site zitten, en er zijn blijkbaar nog steeds veel
mensen die niet goed naar de URL balk kijken (waar soms
lange en onbegrijpelijk URL's in staan). Zie
http://isc.sans.org/diary.php?storyid=1463 voor
een recent voorbeeld waarbij de URL wel duidelijk gespoofed
was, maar de pagina overtuigend overkwam. Dat Yahoo belooft
dat de gegevens die je hebt ingetikt via SSL worden
verstuurd helpt in dergelijke gevallen natuurlijk niets.

Saillant detail: "Mode: Standard | Secure", de
keuzemogelijkheid onder de "Sign In" button op Yahoo's login
page die daar al een tijd geleden verdwenen is, kwam nog
wel voor op de spoofed page (zie Sans).

Yahoo heeft al tijden een veilige pagina:
https://login.yahoo.com/. Yahoo zou de http
uitvoering daarvan moeten afschaffen (of in elk geval het
gebruik ervan moeten ontmoedigen door uit te leggen "Why
this is LESS secure"), en gebruikers zo moeten opvoeden dat
ze controleren of het certificaat daadwerkelijk van Yahoo is
alvorens ze hun login gegevens prijsgeven.
20-08-2006, 23:36 door Lenin2
Heb je honger probeer wat lekkere browser cookies, trouwens er zijn heel
wat XSS die worden uitgevoerd als je je mail opent.

Maar toch is yahoo "beter" dan hotmail omdat je de wachtwoord van de
cookie eigenaar niet kunt veranderen of in zijn profiel kan komen (had het
getest met mn eigen accounts)
21-08-2006, 14:41 door Sebastian
Yahoo waarschuwt dat er redenen zijn dat het zegel op
legitieme Yahoo login pagina's niet verschijnt.
Dan
kun je het net zo goed niet gebruiken. Inconsequentie is
voor mensen veel te verwarrend.

Je zou per gebruiker een individueel client-certificaat uit
kunnen vaardigen. Dan krijg je van je applicatie direct
klachten wanneer het stamcertificaat anders is.

Maar dat is voor Yahoo-gebruikers veel te ingewikkeld.

Bekijk het resultaat eens van:
openssl s_client -connect login.yahoo.com:443 -ssl2
en
openssl s_client -connect protect.login.yahoo.com:443 -ssl2

Secure? :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search