For pokker da. Sæt jer nu ind i tingene...
Med alt respekt: Lad være med at oversætte moderbladets artikler så ukritisk. Giv i stedet læserne noget ordnelig dybde! I er trods alt et IT medie? (Det er ikke din skyld personligt Ditte, min kritik er af mere generel art *s*).
Hermed lidt mere indsigt, til både redaktionen og de øvrige læsere!
Teknisk set er Quicktime overhovedet ikke problemet. Første udnyttelse af phising metoden har blot ANVENDT Quicktime. Man kunne lave akkurat samme stunt med andre multimediebaserede præsentationsværktøjer, eller med f.eks. 100% korrekt og W3C valideret SMIL (Synchronized Multimedia Integration Language, se
http://www.w3.org/ (...))
-> Her er problemetrs kerne:
Både SMIL, Quicktime, og en lang række andre præsentationsværktøjer, tillader at en multimediepræsentation aktiverer en URL eller på anden vis interagerer med den hjemmeside hvorpå den vises. Dette er en helt normal adfærd for disse produkter. Man kan f.eks. gøre akkurat det samme med de irriterende Flash videoreklamer der ind imellem gør Computerworlds hjemmeside til en plage at besøge. De kan åbne en ny hjemmeside relateret til reklamen, og gør det ofte hvis man spiller reklamen til ende.
En snedig hacker har så fundet ud af, at dette kan udnyttes til at udføre såkaldt "cross-site scripting", uden om webserverens normale kontrol og sikkerhed. I praksis gør den ondsindede bruger følgende:
1.) Redigerer en video (Quicktime OR WHATEVER) så den indeholder en aktivering af en ekstern URL med et ondsindet javascript
2.) Installerer videoen på sin profil
3.) Lokker andre til at besøge profilen
4.) Nye besøgende ser videoen, og bliver uforvarende udsat for det ondsindede Javascript.
5.) Det ondsinede Javascript ændrer brugerens profil, udsender beskeder til ens venneliste, samt sender brugeren til en tilfældig hacket webserver der forsøger at installere spyware/adware på brugerens computer.
Set med datalogiske øjne (selv om jeg ikke er datalog), så er sikkerhedshullet i MySpace web applikationen. Hos MySpace tillader man ikke Javascript overhovedet - men deres måde at sikre sig mod det, er kun at filtrere det væk når en bruger manuelt indsætter det i sin HTML profil. Dermed er MySpace web applikationen åben for såkaldt "code injection". Hver evig eneste gang man kan finde en ANDEN måde end editor boksen til at indsætte javascript i MySPace, så vil man have et nyt sikkerhedshul. Og det vil virke med hvad som helst, ikke kun med Quicktime.
Følgende i artiklen er derfor forkert:
I stedet for at udstede en reparationstilføjelse til alle QuickTime-brugere har Apple valgt den usædvanlige strategi at lade MySpace selv tilføje blokeringskoden.
Der er intet usædvanligt i det, med mindre man ikke forstår problematikken. Sikkerhedsproblemet er i MySpace web applikationen. Derfor er det indlysende simpelt, at det også er i MySpace web applikationen der skal laves ændringer for at undgå cross-site scripting, undgå code injection, og undgå at javascript kan redigere en brugerprofil uden brugeren opdager det (tsk tsk).
Følgende i artiklen er også forkert:
Når en bruger klikker for at afspille filmen, snupper den trojanske hest brugerens personlige oplysninger.
Det er ikke en trojansk hest i MySpace, men derimod et phising forsøg samt et forsøg på malware installation direkte på brugerens computer. Brugerens password kan ikke opsnappes, og derfor bliver brugeren på forskelligvis forsøgt fusket/lusket til at indtaste det igen. Phising forsøget kan kun indsamle information der er aktiv i brugerens aktuelle web session, samt brugerens profiloplysninger eksl. password til kontoen.
I praksis har Apple forsøgt at dæmme op for problemet, ved at lave ekstra spærringer i Quicktimes scripting muligheder. Vi må håbe at alle de andre leverandører af multimedieindhold også gør lignende tiltag - SAMT at udviklere af webapplikationer for fremtiden ikke nøjes med kun at filtrere javakode fra i et HTML editor vindue. Det er aldeles utilstrækkeligt.
Venligst
- Jesper
/JS
Log ind
Publiceret d. 20. marts 2007 kl. 15.18
| 
|
