Microsoft patcht URL lek door feature uit te zetten
Microsoft heeft plannen bekendgemaakt waarin het fraudeurs die van zogenaamde "phising attacks" gebruikmaken harder wil aanpakken. De softwaregigant wil namelijk geen gebruikersnamen en wachtwoorden die via HTTP of HTTPS URLs verwerkt worden ondersteunen. Normaal wordt deze methode gebruikt om Internetgebruikers tegen frauduleuze of kwaadaardige websites te beschermen. Door een lek in Internet Explorer is het echter mogelijk dat oplichters een nep-URL in de adresbalk laten zien. Zo kan de syntax http(s)://username:password@server/resource.ext door legitieme, maar ook door fraudeurs misbruikt worden. In plaats van het lek, dat al bijna twee maanden bestaat, te verhelpen, heeft Microsoft besloten om met deze aanpak te stoppen. De syntax username:password@server/resource.ext zal dan ook niet meer in Windows of Internet Explorer ondersteund worden. Meer informatie over de wijzigingen geeft Microsoft in deze advisory. (The Register)
Beter was het geweest om het %00 karakter uit de link te weren.
Door het at teken te banne uit een url blijft het nog steeds mogelijk op
document niveau te spoofen.
Als het goed is geeft de onderstaande link in de statusbalk alleen
http://www.xs4all.nl aan terwijl je in werkelijkheid op sexsite terecht komt.
http://www.xs4all.nl%00/~eronet/
Weer half lapwerk van mirsoft dus
Frans Egberink
us;Q834489 target=_blank>deze advisory</a>
bedenken!?
Zou mij benieuwen in hoeverre die url parsing engine
onderdeel van de MS Windows kern is ... en hoeveel bugs er
nog in ondekt gaan worden.
@, %00 of %01 in zit.
Ik heb er hem wel weer afgegoid omdat ik zelf veel gebruik maak van de
mogelijkheid username:password@ om direct bij routers en switches in
te loggen zonder dat meekijkers de wachtwoorden kunnen zien.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.