21 תגובות לקטע “יום מלא עניין היום”

1. משה כתב\ה:
   14 בינואר 2008 בשעה 22:15

   אז הכשל הוא בעצם לא של גימייל או גוגל נכון?
   ולא הבנתי למה המכתב נפתח אוטומטית..

2. zEt0s- כתב\ה:
   14 בינואר 2008 בשעה 22:20

   יפה מאוד שחזר הבלוג.
   התחלתי לדאוג :\
   BTW-העניין עם הCSRF על ג'ימייל מעניין אותי.
   תוכל להדגים את הCSRF על ג'ימייל..?

3. HaDeS כתב\ה:
   14 בינואר 2008 בשעה 22:21

   היכן בידיוק היה הXSS? באתר שהפנה אותך במכתב שקיבלת ?

4. HaDeS כתב\ה:
   14 בינואר 2008 בשעה 22:23

   אם אתה לא כועס ולא שומר טינה
   אז למה הגשת תלונה במשטרה? o.0

5. Aquila כתב\ה:
   14 בינואר 2008 בשעה 23:04

   מה בדיוק גורם לך לחשוב שכך התבצעה הפריצה? על פי מה שאתה כותב אני לא בטוח שאתה סגור על עצמך. תקן אותי אם אני טועה.
   בכל מקרה, אשמח אם תציג שיחזור למה שקרה בעצם או דוגמה (PoC) ללמה Fasterfox הוא תוסף בעייתי.

   ובקשר לגוגל… למה להכפיש את שמם? על בסיס מה?
   תראה לי חברה אחרת בשוק שמטפלת בבעיות אבטחה באותה מהירות או אפילו בחצי מהמהירות שגוגל מטפלים.

   כדי לך להכיר את הבלוג אבטחת מידע של גוגל.. אולי תלמד דבר או שתיים ותחשוב טוב יותר לפני שאתה יוצא בהצהרות על רמת האבטחה של חברה כזו או אחרת.

6. אביב כתב\ה:
   14 בינואר 2008 בשעה 23:06

   הפיצ'ר נקרא pre-fetching ולא pre-caching, למרות שבגדול הכוונה היא אכן שהלינקים בדף נקראים במהלך טעינת הדף.
   למידע נוסף:
   * שאלה אחרונה כאן:
   http://aviv.raffon.net/2008/01/05/FirefoxDialogSpoofingFAQ.aspx
   * או הפוסט של RSnake כאן:
   http://ha.ckers.org/blog/20080103/phishing-using-fasterfox-prefetching/
   * לקוראי גרמנית, הפוסט המקורי:
   http://www.bitsploit.de/archives/625-Cross-Domain-Basic-Auth-Phishing-Tactics-3.0.html

7. נחום הספאמר כתב\ה:
   14 בינואר 2008 בשעה 23:06

   HaDeS2-בסוף הוא לא הגיש אבל הוא פגש פקיד שקורא את הבלוג..

   zEt0s – http://www.getfirefox.com http://www.gnucitizen.org/blog/google-gmail-e-mail-hijack-technique/

   HaDeS1- מה שקרה הוא שהיה לינק שגורם להעברת הודעות מהחשבון GMAIL לחשבון אימייל אחר באמצעות CSRF כלומר שליחת טופס(באופן אוטומטי באמצעות JS) מכיון שיש חסימה לסקריפטים בדואר אז השתמשו בלינק הFASTER עובד בצורה כזאת שאתה גולש באתרים הוא נכנס לפעולה ומוריד באופן אוטומטי את העמודים הפנימיים כדי שאם תכנס אליהם הטעינה תיהיה מהירה יותר היות וFASTER ניסה להוריד עמוד לגיטימי וגיא איש האבטחה הגאון שלנו כיבה את NOSCRIPT כי זה מפריע לו במצוד אחרי XSSים נוצר מצב שהטריגר הופעל והתוקף קיבל גישה למכתבים שישלחו לגיא החל מאותו הרגע

   Aquila- זה שאתה משתמש בFF זה כבר יפה וטוב אבל מה עם עדכונים?

8. Aquila כתב\ה:
   14 בינואר 2008 בשעה 23:30

   אביב – אני מכיר את הנושא ביקשתי הדגמה מגיא, תודה בכל מקרה.

   נחום – הבלוג יציג מה שאני אגיד לו להציג

9. HaDeS כתב\ה:
   14 בינואר 2008 בשעה 23:35

   אהה אז בעצם הועברו רק ההודעות לא גניבת קוקיז וסיסמאות..
   ומה אמר הפקיד?

10. נחום הספאמר כתב\ה:
    14 בינואר 2008 בשעה 23:38

    וווואו. באתי מהעתיד

11. נחום הספאמר כתב\ה:
    14 בינואר 2008 בשעה 23:39

    מחליף יוזר-אג'נט מטומטם:
    וווואו. באתי מהעתיד

12. Aquila כתב\ה:
    14 בינואר 2008 בשעה 23:44

    עלית על זה מר ספאמר

13. נחום הספאמר כתב\ה:
    15 בינואר 2008 בשעה 0:37

    מנסה לבדוק תאימות באתרים או סתם מנסה לעקוף את שד בצבעוניות של הFIRESTATS?

    וזה לא היה כזה מסובך..

14. גיא מזרחי כתב\ה:
    15 בינואר 2008 בשעה 6:54

    נחום: לא פגשתי אף אחד, דיברתי בטלפון עם מישהו. לא פקיד, אבל הבטחתי שלא אמסור עם מי ולכן לא חושף שם ותפקיד.
    הוא גם לא אמר שהוא קורא את הבלוג אלא שהוא מכיר את השם שלי ואת הבלוג. לא שהוא קורא קבוע
    hades: לא הגשתי תלונה בגלל שתי סיבות:
    1. ההודעה על זה שאני הולך להתלונן באה בדיוק בדקה שהתעצבנתי. אין י שום סיבה להרוס למישהו את החיים בגלל שטות (הוא לא הרס כלום).
    2 גם אם הייתי רוצה להגיש תלונה – הבחור עבד עם TOR, דבר שהיה מצריך ממני לבקש מדרים הוסט את הלוגים לא רק לבלוג שלי אלא לעוד מקומות והיה לוקח לא מעט זמן לעלות על זה.. (רמז איך תופסים חבר'ה עם TOR, מי שהבין הבין ומי שלא, יותר טוב ).
    בכל מקרה, מי שדיברתי איתו במשטרה נשמע מישהו בעל ידע והבנה, אז אל תזלזלו.

15. גיא מזרחי כתב\ה:
    15 בינואר 2008 בשעה 6:56

    אקילה: אני אכן לא סגור על העניין ב-100%. זה הדבר שנראה לי הכי הגיוני למרות שיכול להיות שבוצע בצורה אחרת, אבל היא מסובכת יותר כך שאני הולך על העניין הזה

16. נחום הספאמר כתב\ה:
    15 בינואר 2008 בשעה 8:24

    אתה מכיר אנשים… אוהבים לעשות את הכל יותר דרמטי ולסלף עובדות

17. תומר כתב\ה:
    15 בינואר 2008 בשעה 11:46

    תבורך. סוף־סוף יש לי סיבה אמיתית שתעזור לי להסביר לאנשים עד כמה ההרחבה הזו מיותרת. רוב הדברים שהיא מבצעת אמורים לכאורה להאיץ את החיבור, אבל לטווח הארוך הם רק פוגעים בקישוריות.

18. DB כתב\ה:
    15 בינואר 2008 בשעה 13:48

    גיא,
    1.אני חדש מאוד לפיירפוקס ויש לי בדיוק 28 תוספים שנראו לי יעילים וכעת אני נעזר כמעט בכולם. ביניהם גם FASTERFOX אבל הבעייה היא לא עם התוסף אלא אצלך!
    תסלח לי אבל אם אתה מוריד תוספים ומתקין בלי להבין מה הם עושים (במיוחד בתור איש אבטחת מידע…) הבעייה אצלך.
    אצלי יש את התוסף אבל כיביתי את האפשרות לטעון קישורים כי אני תמיד משתדל לקרוא קצת הסבר לפני שאני מוריד והבעייה שציינת היתה רשומה שם במפורש !!!
    בנוסף אחרי שמורידים ומתקינים משהו (ולא רק תוסף אלא גם כל תוכנה אחרת…) מומלץ לבדוק את האפשרויות וההגדרות ולהתאים אותם לצרכים.

    2. אם אתה לא חושב שגוגל מספיק טובים באבטחת מידע למה אתה משתמש בשירותים שלהם? לא חכם…
    אשמח אם תוכל לתת קישורים לגבי הטענות שלך ככה לפחות נחכים כולנו!

    יום נעים!
    D:

19. גיא מזרחי כתב\ה:
    15 בינואר 2008 בשעה 14:21

    DB: אתה מניח שכל משתמש שמוריד תוספים צריך לקרוא הוראות אבל החוק הבסיסי באבטחת מידע אומר "לא לסמוך על המשתמש".
    ההנחה שכל מי שרוצה להיות בטוח יצטרך לקרוא הוראות ולשנות דברים היא הנחה טיפשית.
    99% ממה שהתוסף הזה עושה זה טעינת קישורים. בלי זה אין לו שום ערך ממשי.
    לגבי גוגל – יש להם יתרונות וחסרונות. אבטחת המידע אצלהם לא משהו יש עשרות תלונות על כך, התלונות שלי הן חלק מזערי.
    אני כבר לא משתמש בשירותים שלהם.

    כשאקבל תגובה מהפורץ, אשמח לפרסם אותה.
    כתבתי איך אני חושב שהוא עשה את זה, הוא טוען שלא. אם הוא יוסיף אני אמשיך לעדכן.

    תומר – תרגיש חופשי לצטט: תוסף בעייתי מבחינת אבטחה.

20. גלעד-flint כתב\ה:
    15 בינואר 2008 בשעה 15:39

    אני מניח שהפורצים היו ישראלים?
    דווקא רציתי פוסט יותר טכני (למרות אחותך) אבל גם זה טוב..

21. VB Man כתב\ה:
    17 בינואר 2008 בשעה 21:33

    די מעניין היה…
    ונראה לי שהם היו ישראלים…