На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2003-12-10 на главную / новости от 2003-12-10
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 10 декабря 2003 г.

Баг в IE помогает выуживать данные

Ошибка в Internet Explorer облегчает создание фальшивых сайтов, которые выглядят как подлинные и крадут информацию у пользователей.

Еще один баг, который обнаружил в веб-браузере Microsoft Internet Explorer 18-летний график-дизайнер Сэм Гринхалш, помогает злоумышленникам обманывать пользователей интернета, выуживая у них конфиденциальную информацию и заставляя исполнять вредоносные программы.

Составив URL особым образом, в браузер можно поместить окно, отображающее любой выбранный атакующим адрес: это позволяет мошеннику создать впечатление, что отображается, скажем, www.zdnet.ru, — на самом же деле загружается контент из другого источника. Этим способом жертву легко ввести в заблуждение с целью выведать персональные данные, например, прислать письмо от имени интернет-банка или другого подобного сайта с просьбой изменить пароль.

«Вы можете представиться кем угодно и заставить кого угодно исполнить нужную вам программу, — пояснил инженер по компьютерной безопасности Дрю Коупли. — Конечно, это не конец света, но забот у Microsoft прибавится».

Коупли, который работает в американской компании eEye Digital Security, сам специализируется на ошибках IE. На его счету множество выявленных в вездесущем веб-браузере проблем. Хотя последний баг не позволяет атакующему пробраться в систему традиционным методом «дистанционного взлома», он лишает пользователя возможности определить, кому можно доверять. «Если адрес выглядит правильно, вы не станете возражать против загрузки чего-либо с этого сайта, нажмете на нужные кнопки и введете пароль или что-там еще потребуется», — поясняет он.

Однако верхние строчки списка самых опасных уязвимостей Microsoft займут, вероятно, более серьезные ошибки, обнаруженные недавно китайской секьюрити-группой, считает Коупли. Три из них позволяют атакующему дистанционно войти в систему. У пользователей есть возможность уменьшить риск, запретив функцию active scripting, которая позволяет браузеру исполнять скрипты и код ActiveX, но это ограничит функциональность браузера, говорит Коупли.

 В продолжение темы:
2003-12-23   Можно ли доверять open-source-поправке к IE?
2004-02-05   Патч Microsoft для IE оставляет пользователей за порогом
2004-04-13   Самым опасным инструментом становится браузер
Обсуждение и комментарии
Anti-MS
10 Dec 2003 6:40 PM
толи еще будет %) мои маленькие любители маздая
 

Alexander S.
10 Dec 2003 7:01 PM
"В чужом глазу соринку видят, в своём бревна не замечают".
 

мозилятник
10 Dec 2003 7:37 PM
Это не баг. Это фича. Ему надо читать rfc2396 до просветления.
И не только в IE она есть.
 

Раздолбайка
10 Dec 2003 7:38 PM
В Mozille - нет. Там все показывается.
 

мозилятник
10 Dec 2003 7:45 PM
Ага. точно. И не заметил, лопух, куда смотреть надо было.
Конец рабочего дня, однако.
:)
 

Black Sh.*
10 Dec 2003 8:20 PM
а вообще не стоит ли пместить в книгу рекордов генса по количеству БАГов?? :). но елис MS не заходчет..
то можно найти того прогрмиста который больше всего обнаружил багов в IE :).
ведь он то согласится тако титул принять :).
все голис надо подать зайвку .:).
 

Cheetah
10 Dec 2003 9:58 PM
2 Black Sh*:
Лучше подай заявку на рекорд по количеству багов в твоем тексте. Приз обеспечен :-)
 

юзер
11 Dec 2003 9:57 AM
когда кончаются аргументы начинаются наезды на личности ,наезд на орфографию это приеп номр один в фидошном флейме
 

еще юзер
11 Dec 2003 11:58 AM
А что, аргументы тут начинались? А хромающая орфография - отличительная особенность многих "гуру", и не только в фидошном флейме. Безграмотный интеллектуал это как банкир бомжеватой внешности - что-то возбуждает смутные сомнения.
 

Black Sh.*
11 Dec 2003 12:57 PM
2 ЩЕ ЮЗер? я не гуру ..
но прав я деясительно бывший фидошник.
a Cheetah мысль инетресна.. но как такой рекорд фиксировать? отношения колическу опечаток к колическу понятых cлов? илилкак?
 

wellyman
11 Dec 2003 2:30 PM
Только что опробовал эту "фичу" на IE, но на Opera 7.23 это уже не проходит тихой сапой,сразу выскакивает предупреждение от секьюрити и в URL вся фигня видна типа http://www.zdnet.ru?@www.microsoft.com (именно с квадратом после .ru в отличие от IE). Так что Opera круче IE.
 

Нос
11 Dec 2003 2:51 PM
что забавно, если кликать дальше по линкам в ИЕ, то сыпятся сплошные ошибки. А Mozilla ползает дальше :)
 

Cheetah
11 Dec 2003 7:56 PM
2 Black Sh*: илилкак.
 

Илья
11 Dec 2003 8:55 PM
Вообще, интересно получается с мелкософтом. Эти чуваки жертвуют всем ради функциональности своих продуктов. Естественно, из-за этого в продуктах дыра на дыре. Чтобы хоть как-то обезопаситься, приходится отключать многие функции вроде ActiveScripting, из-за чего функциональность падает. Получается, что при покупке товаров от M$ значительная часть средств попросту выбрасывается на функции, которые пользователь сразу же отключит после установки продукта. В общем, учитесь, Остапы, как их лохов бабки тянуть!
 

Andy
12 Dec 2003 10:50 AM
Блин, когда ж они уже URL парсить научатся!? Уже сколько таких приколов было со спецсимволами в строке адреса - и снова...
 

Skull - sibskullmail.ru
12 Dec 2003 3:18 PM
2Andy: "когда ж они уже URL парсить научатся!?" - ответ: когда наконец-то поставят себе Linux и научатся пользоваться регулярными выражениями :)))
 

MOHTEP
12 Dec 2003 6:34 PM
Black Sh.* - ты не бывший, ты ВЕЧНЫЙ фидошник!
 

Нос
12 Dec 2003 10:10 PM
Вот уж не знал, что использования регулярных выражений нужен линукс :)))
 

torvic
13 Dec 2003 1:49 AM
Мне тоже интересно, нафик ядру пусть даже такому монстрообразному парсинг рег.выражений сдался ???
 

Norton
13 Dec 2003 5:00 PM
Да-да!!! Это все правда! На ожну из таких "уловок" я и попался!!!!
 

glassy
13 Dec 2003 10:00 PM
2Norton: об этой уловке подробнейшим образом написано в Secure-Programming-HOWTO.pdf Разумеется, в корпорации Майкрософт подобных документов и близко нет.
:)
 

Skull - sibskullmail.ru
15 Dec 2003 10:22 AM
2Нос: если бы в MS научились работать с регулярными выражениями, как это делает большинство линуксоидов, то таких детских ошибок бы не было... :)
 

PTO - ptokgb.ru
15 Dec 2003 11:05 AM
2 glassy: ой, если бы вы смогли почитать книжку, что бесплатно раздавали на Платформе всем участникам под названием "Writing Secure Code" да на русском языке... см
http://pcweek.ru/?ID=310963 , то с этим вот http://www.dwheeler.com/secure-programs/ сравнивать бы не стали

2 Skull: тут дело не в регулярных выражениях, а в том, как люди работают с канонизацией имени... см. про книжку http://www.rusedit.ru/view_book_sheet.asp?FROM=SINGLE&BOOKID =1129 там регулярные выражения довольно неплохо описаны и используются
 

Black Sh.*
15 Dec 2003 12:47 PM
2 Монтер.
ну ну ФИДорас а не фидошник.. давайте назвать всех своими именами..:)
ФИДО сеть друзей :). а инет сеть врагов.
 

Black Bat
15 Dec 2003 2:52 PM
to Black Sh.*:

_ФИДО сеть друзей_

ага, а учитывая что основателями ФИДО были двое представителей голубой ориентации, то понятно что за друзей эта сеть.
 

Skull - sibskullmail.ru
15 Dec 2003 6:28 PM
2PTO: хех! Может, ребят из MS (как нашкодивших кутят) ткнуть мордочкой в соблюдение RFC при кодировании имён вложений?
Кстати, был я на Арбате в книжном, видел книжку Гейтса (Дорога в будущее). Всего 80 руб. Сначала думал взять, потом передумал - зачем мне неликвидная дешёвка? Гроув/Гёрстнер как-то интереснее... :)
 

glassy
15 Dec 2003 9:34 PM
2РТО: книжка эта фуфло, если в ней не написано столько же про race conditions, спецсимволы и юникод.

Виндовз -- отстой. Простой пример -- диалог открытия файла с мультиселектом (VC++, winapi). НЕВОЗМОЖНО _секурно_ узнать, один ли файл выбран или несколько. Если я не прав, покажи мне безгеморройный пример его секурного использования, скажем, на юникодной фс, очень интенсивно работающей с файлами. Что это -- пробел в архитектуре, долб-бы спекописатели, недостаточная документированность или криворукость меня как программера под вин32? Какой из этих вариантов показывает твою прелесть в более выгодном свете?
 

Skull - sibskullmail.ru
16 Dec 2003 9:43 AM
2glassy: 5 к 1, что PTO выберет последний вариант :)
 

Andy
16 Dec 2003 10:36 AM
2glassy:
пожалуйста, подробно - какие проблемы с диалогом открытия файла с мультиселектом?
 

glassy
16 Dec 2003 6:10 PM
2Andy: не волновайся, дальше чтения документации я не пошел. Я даже название этой функции уже не помню. Смысл доки такой -- если выбран один файл, то в буфере он, заканчивающийся '\0'. А если не один файл, то сначала идет директория, а за ней, через '\0', файлы. После последнего -- '\0\0'. Подобные воображабли мы, линуксоиды, зовем бредом (надо ж такую хитрую систему выдумать) и маразмом (память экономят?). Тому, кто это выдумал, не мешало бы Кнута перечитать.

Кстати, неплохой материальчик -- http://www.joelonsoftware.com/articles/Biculturalism.html
 

Andy
16 Dec 2003 7:00 PM
2glassy:
Всё правильно, изврат редкостный - но несекьюрности или глюкавости тут вроде бы не замечалось. Точнее глюк здесь (в функции GetOpenFileName) есть, но он не программный, а как бы это сказать, смысловой. Даже два. То есть с точки зрения системы написано всё правильно - не упадёт, но вот есть ситуации, когда прикладному программисту хоть головой об стену бейся - а правильно использовать эту функцию не выйдет.
 

A
17 Dec 2003 11:53 AM
вах, какая новость. Этот прикол уже несколько лет известен. Но Сэм тогда ещё не умел пользоваться тырнетом и потому не смог сообщить об этой "проблеме" zdnet'у. Но лучше поздно чем никогда...
 

Andy
17 Dec 2003 1:08 PM
2A: О чём ты? Кто такой Сэм?
 

A
17 Dec 2003 4:42 PM
2Andy: первый абзац "новости" прочитай
 

Andy
17 Dec 2003 6:15 PM
2А: А!
 

 

← ноябрь 2003 4  5  8  9  10  11  12  14  15 январь 2004 →
Реклама!
 

 

Место для Вашей рекламы!