Servisne strani

[mitja_i]

Pa ko smo že pri tem, tudi pri telefoniji je napaka. Na T-2 številkah. Te se prikazujejo kot 386 0590 xxxxx (namesto 386 590 xxxxx). Tako na urejanju imenika in pri spremljanju porabe.

[T2_Delavec]

Tole je namerno dodano, sej vidiš, da je tudi presledek za 386. Če meniš, da je narobe, pa se bo lahko seveda razmislilo, da se to funkcionalnost ven vrže.

[mitja_i]

Če je namerno, pol bi moral it 386 v oklepaj in morala bi bit 0 tudi pri telekomovih številkah. (386) 01 1234567 in pa (386) 0590 12345. Sam to je še vedno neumnost. Številka je lahko samo: 386 1 1234567 in pa 386 590 12345 (če že hočeš imet brezvezne presledke). Kako se pa kliče al z +386 al z 01 je pa odvisno od uporabnika.

[dal]

Predlagam, da se 386 vrže ven.

[ipsilon5]

Ne, to je by design, da se zmanjša možnost očitnega spoofanja. Predlagam, da si daš v Favorites ali pa klikneš na levi strani uvodnice http://www.t-2.net.

Kaksnega spoofanja. Prosim razlozi mi se malo ta hackerski stavek. Spoofanje je izdajanje za nekoga drugega. Tu samo gre za nedodelanost stvari. Da ti ko napises servis.t-2.net explorer pove da moras uporabit https namesto da te sam redirekta je salabajz ne pa zascita. Podobno kot zaprt ping na http://www.t-2.net Dajte lepo enkrat nardit nekaj uporabniku prijazno in dodat redirekt iz http na https tako da je to kot se spodobi.

Ce ne veste kako pa:

http://www.microsoft.com/technet/prodte ... x?mfr=true

Pricakoval sem odgovor v stilu: "Urejeno, hvala za sugestijo" Ne pa hackerwannabe guide po glaksiji

[T2_Delavec]

No, no.
Če pošlješ nekomu mail, ki izgleda, kot da bi ga poslal operater "A" in imaš notri link na web stran, ki izgleda podobno, kot tisto, na kar je stranka navajena, se bo takega uporabnika lahko hacker lotil s ta veliko sekiro. Ker ne dovolim redirecta, bo stranka vsaj malo zaščitena pred avtomatizmom (in ne-pozornostjo uporabnika).

Še enkrat: redirecta NE BO.

Upam, da ti je sedaj jasno o kakšnem spoofanju govorim. Pa hvala za izjemno koristna navodila.

[ipsilon5]

Ne, se vedno mi ni niti najmanj jasno zakaj bi to blo nevarno. Torej posljes kaksen mail? Prosim povej konkretno ali pa priznaj da si kiksnil. Torej pozdravljeni! Pisemo vam iz t-2. Prosim obiscite servis.t-2.net. In kaj pol. Ce ni dodan v cache clienta lazni naslov ali ni spremembe podatkov na poti bo ta kijent od vasega DNS dobil host za servis in prilezel na vaso stran in... ma kaj sploh pisem. Zdaj sem sele dodatno uvidel kaksen nesmisel govoris.

Prosim povej konkretno kaj bi naj bilo narobe, pa ti povem strokovno zakaj ni. Ce ces si malo razsiris znanje o tem ,ce ne pa ne.

Skratka to kar je sedaj ni uporabniku prijazno, pausalno pa pravit to je v cilju varnosti pa pravijo ameri ko vse krivijo terorizem.

Pa se seveda zapirat ping pocnejo lame admini. Tak vec nihce ne DDOSA

[T2_Delavec]

Recimo da ti narediš en web site, ki se izdaja za Servis T-2 net., zgleda tako, oranžen je, vnosno masko ima na začetku za username in password. Ker hočeš namamiti nič hudega sluteče delovne ljudi in občane, da pridejo na tvoj site, da jim lahko pokradeš gesla, skonstruiraš recimo en mail, ki izgleda kot da bi ga poslali iz T-2, kjer je tudi link na spoofane servisne strani (drugam, kot je uporabnik mislu, da ga bo link odpeljal). Ker bi bili ljudje vajeni, da jim avtomatsko redirecta iz HTTP na HTTPS, ne bi bili pozorni, če do tega redirecta ne bi prišlo in bi v dobri veri vnesli svoja uporabniška imena in gesla.

Tole je en najstarejših prijemov, že vsaj 10 let se spopadam s takimi in podobnimi pedrarijami. Naredilo se bo vse, da se možnost takega napada na zasebnost uporabnikov in krajo gesel zamnjša na minimum. Upam, da poznaš scenarij in da veš o čem ti govorim. Spoofanje pomeni, da se izdajaš za nekoga drugega.

ICMP Replyje zaprl ta glavni network security guru pri nas. Če bo on reku, da bo zaprto, potem mu lahko samo prikimaš.

[ipsilon5]

Recimo da ti narediš en web site, ki se izdaja za Servis T-2 net. Ker hočeš namamiti nič hudega sluteče delovne ljudi in občane, da pridejo na svoj site, da jim lahko pokradeš gesla, skonstruiraš recimo en mail, ki izgleda kot da bi ga poslali iz T-2, kjer je tudi link na servisne strani. Ker bi bili ljudje vajeni, da jim avtomatsko redirecta iz HTTP na HTTPS, ne bi bili pozorni, če do tega redirecta ne bi prišlo in bi v dobri veri vnesli svoja uporabniška imena in gesla.

Tole je en najstarejših prijemov, že vsaj 10 let se spopadam s takimi ni podobnimi pedrarijami. Naredilo se bo vse, da se možnost takega napada na zasebnost uporabnikov zamnjša na minimum. Upam, da poznaš scenarij in da veš o čem ti govorim. Spoofanje pomeni, da se izdajaš za nekoga drugega.

Cakaj to treba res poanalizirat.

1. Redirect uporabnik sploh ne bi opazil, bog moj ker ne delas redirect v kodi strani ampak na strezniku.
2. z redirectom ali ne lahko nekdo poslje mail in da no tlink ki ne kaze k t-2 strani. Ce da link, ki kaze k t-2 strani ne more vplivat na to kam pride klijent, vpliva smao t-2 s svojimi zapisi v DNS.

Torej ce pise v mailu http://servis.t-2.net ali https://servis.t-2.net je popolnoma isto in hacker brez posega v resolvanje imena na strani uporabnika ali vmes na poti paketa ne more vplivat da ga usmeri kam druga.

Probaj dobro razmislit kaj ti govorim. Bos uvidel nesmisel.

[T2_Delavec]

Vseeno je kje se dela HTTP redirect, saj je tudi koda (kot ji praviš) na strežniku - browser responda na isti način na 302 in 304, bodisi da je v kodi na strežniku, bodisi, da je v IIS metafileu in inetsrv to počne. In tam že ne bo tega redirecta. Kar dobro še enkrat preberi zakaj.

[ipsilon5]

Pozabi. Trdi ste. Sploh ne vem zakaj tu pa tam kaj recem ce ste najbolj pametni. No vsaj odgovoris, lahko bi bil tiho, tak da tu si na mestu. Je pa res da nimas prav in tu ne gre za misljenje ampak mnenje Ce nardis tak redirekt kot sem ti rekel bos nardil da stvar zgleda kot da si je nekdo vzel vec kot 5 min casa, omogocil bos naprednim uporabnikom direkten pristop, vedno bos vsilil https pa se zgledalo bo profesinalno in ne prepuscneo slucaju. Ker pac k temu ne tezite naj ostane tak. PMK (puca mi k... )

[dal]

Če je redirect res tako grozno nevaren, potem pa vsaj naredite, da se bo na http://servis.t-2.net/ odprlo obvestilo v slovenskem jeziku in ne neka tehnična latovščina v angleščini.

[ipsilon5]

Tocno to. Razen da je redirect elegantna in PRO resitev je pustiti default IIS obvestilo res malomarnost. Naj te nardijo pagino ko te obvesti in povprasa ce ces it na secure.
Panika pa taka za redirect, a webmail pa majo direkt po http.

[dal]

Panika pa taka za redirect, a webmail pa majo direkt po http.

Če uporabnik ročno popravi naslov v https ( https://webmail.t-2.net/ ) pa dobi obvestilo, da strežniku ne gre zaupati in da se ime strežnika na certifikatu ne ujema z imenom strežnika.

Zanimivo, da se webmail server da pingati.

[T2_Delavec]

Webmail je tudi na https. Zaresen certifikat baje še čakamo za mail. T2 - ti raje predlagaj ukrepe za izboljšanje securitya (un gor s poslovenjenjem je interesanten). Pametne predloge vedno upoštevamo, če ne štekamo stvari, si jih gremo pa prebrat. Ukrepov, ki cufkajo security in vnašajo meglo v sistem pa ne mislimo podpirati. Sicer pa itak tako vsi ISPji delajo. Varnost podatkov je pač sila pomembna reč.

DAL: ne webmail mašini je "selfissued" certifikat, ki ga da zraven proizvajalec. Pravega damo gor malo kasneje enkrat.