Hlavní navigace

E-mailové schránky Centrum, Volný a Tiscali v ohrožení (doplněno)

Jiří Macich ml.

Server Triim.net přišel se závažnou informací. Popisuje totiž způsob jak díky bezpečnostní chybě proniknout do e-mailových schránek uživatelů freemailových služeb portálu Centrum a telekomunikačních operátorů Tiscali a Volný. Chyba údajně tkví ve špatně řešeném přijímání příloh. Díky speciálnímu JavaScriptu lze získat údaje z cookies příjemce e-mailu s přílohou. V případě Tiscali mají být dokonce cookies v nešifrované podobě, takže pro útočníka není problém získat jméno a heslo pro přístup do…

Server Triim.net přišel se závažnou informací. Popisuje totiž způsob jak díky bezpečnostní chybě proniknout do e-mailových schránek uživatelů freemailových služeb portálu Centrum a telekomunikačních operátorů Tiscali a Volný. Chyba údajně tkví ve špatně řešeném přijímání příloh. Díky speciálnímu JavaScriptu lze získat údaje z cookies příjemce e-mailu s přílohou. V případě Tiscali mají být dokonce cookies v nešifrované podobě, takže pro útočníka není problém získat jméno a heslo pro přístup do schránky. (Root.cz)

Doplnění (17:01): Vyjádření Volného k tomuto problému: Popsaný způsob útoku proti webmailu Volný je zcela neúčinný. Autorem získané cookies neobsahují žádné (ani zašifrované) údaje, cookies neslouží jako autologin či něco podobného. Jedná se o náhodný řetězec, který slouží při vyhodnocování statistik (vyhodnocování reklamních kampaní atp). Popsaný způsob útoku je znám několik let a proto je náš systém vůči němu imunní. Autor získal cookies, které neobsahují žádné informace, které by se daly zneužít k jakémukoliv útoku proti našemu webmailu. Z portálu Centrum máme potvrzeno, že v jeho případě chyba skutečně existovala, ale již byla opravena.

Našli jste v článku chybu?

12. 10. 2007 21:27

uživatel si přál zůstat v anonymitě
csrf = Cross-site request forgery...

Osobne bych to zahrnul pod xss a nerikal tomu samostatne pac to dost souvisi... Spatne se to vysvetluje, juknete na wiki:

http://en.wikipedia.org/wiki/Csrf



22. 4. 2007 5:05

qteck (neregistrovaný)
Vysvetlivka pro Stepana:
Ajax: (X)HTML+CSS+DOM+JS+XHR strucne se tomu rika ajax!

Mahony je jedinej, kterej tu rika aspon 50% pravdu a je jedinej, ktereho ponizite, njn blbci.

Typ utoku, ktery jsem demonstrativne predvedl byl jen bay si lidi udelali obrazek v zadnem pripade jsem necekal nic, jako u tiscali. Vy tvrdite ze chyba byla nevyuzitelna? ta chyba vyuzitelna byla stejne, jako na cetrumu, u vas a tiscali. Nejedna se primo hup cup mam heslo, dala by se poslat napriklad priloha, ktera by ob…




Podnikatel.cz: Zařízení pro EET zbytečně, vrátí vám peníze

Zařízení pro EET zbytečně, vrátí vám peníze

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

DigiZone.cz: Zdeněk Gerlický: nový ředitel nangu.tv

Zdeněk Gerlický: nový ředitel nangu.tv

Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech

DigiZone.cz: Sat novinky: Je tu Sky Sport News HD

Sat novinky: Je tu Sky Sport News HD

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Root.cz: Kamery Sony se dají ovládnout na dálku

Kamery Sony se dají ovládnout na dálku

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Podnikatel.cz: Alza.cz má StreetShop. Mall.cz více výdejních míst

Alza.cz má StreetShop. Mall.cz více výdejních míst