Existuje efektivní a jednoduchá obrana. Stačí, když poskytovatel schránky dovolí majiteli schránky nahlédnout do výpisu IP adres, ze kterých se do schránky přistupovalo. To je účinný prostředek, jak donutit poskytovatele, aby trvale záplatoval svůj webmail. Zveřejnění IP adres ale znepříjemní život i lidem přímo od poskytovatele schránky. Proto se zveřejní IP adres asi jentak nedočkáme.
Počul som, že vobec najslabšie na slovenskom internete sú zabezpečené schránky Azet.sk.
Na druhej strane však niekedy je chyba aj v samotných užívateľoch, keď ako heslo vačšina z nich uvádza svoje krstné meno, či iné ľahko uhádnuteľné heslo. Tiež sú v tomto ohľade výborné tzv. "kontrolné otázky" - vacsinou ich totiž nie je ťažké proste uhádnuť.
Ja som sa tym zacal zaoberat celkom nahodou: pri jednom projekte znamej poslali mail znenia:
"..blabla.. a to spravis takymto prikazom:
prikaz <input file> <output file> "
A na stranke webmailu bol miesto textu <input file> normalny input box :-) A to bol pritom obycajny text/plain mail.
Este dalsi rozdiel je, ze pri tych obrazkoch nebolo treba ziadny javascript, ale postup je zhruba podobny. Ja som pouzival hlavne Perl a netcat na parsovanie hlaviciek a vytvorenie jednouceloveho "web serveru", ktory dokaze akurat poslat obrazok a zaznamenat referer.
Dalej ma napadli rozne finty: ulozit do polozky "date" html/javascript kod, alebo niekde, kde je vysoko nepravdepodobne, ze by to skript zobrazujuci maily kontroloval. Na poslanie takeho mailu by bolo treba spravit specialny skript ktory posiela priamo cez SMTP. Zaujimave by bolo, ktory "date" by pouzil...
Ale celkovo sa cudujem, ze sa to za vyse 2 roky nezmenilo...
Chtěl bych jen upozornit, že téměř tím samým jsem se zabýval i já už před nějakými třemi lety. Vyšly o tom pod názvem "České freemaily nejsou bezpečné" články na několika českých serverech, Lupa to tehdy uvedla alespoň v rubrice readme.txt:
Když si to přečtete, zjistíte, že používané triky jsou až podezřele podobné těm, které použil o tři roky později celkem úspěšně i autor tohoto článku. Já jsem tehdy u svého popisu jména freemailů uváděl a doslova mne dostalo, když jsem zjistil, že bych i teď už z jen z popisu bezpečnostních chyb v tomto článku byl schopný celkem bezpečně jednotlivé nejmenované freemaily identifikovat, protože se všechny chovají téměř přesně stejně nebezpečně jako onehdy. Uznejte, není to smutné?
Tímto příspěvkem samozřejmě nechci autorův počin nijak shazovat, naopak chválím některé nové nástroje průniku (např. nápadité vypnutí si kontroly IP přes cookie), které ve svém řešení představil. Třeba zrovna k té kontrole IP bych ale třeba chtěl i něco poradit: Když už máme možnost spouštět na napadaném počítači JavaScript, není problém si někde ve skrytém iframe stáhnout stránky, které mne zajímají (pro začátek např. seznam mailů v inboxu), a jejich zdrojáky si zaslat třeba přes nějaký ten parametr načítaného obrázku. Možností je spousta...
Ale problem je v tom, ze oni CHTEJI zobrazit html mail. Chteji tam mit obrazky, odkazy, tabulky, styly. Takze nejde o to zobrazit telo zpravy, jde o to zobrazit vse a nektere veci upravit - treba zminene externi obrazky, javascripty apod.
kedysi davnejsie som si robyl webmail pre domace pouzitie
a veskere <tagy> sa daju efektivne a pomerne jednoducho
odfiltrovat, a zobrazit len "telo spravy".
Sa divim vobec ze takato (mne samozrejma vec) nieje standartne na vsetkych webmailoch.
suhlasim, osobne som toto testoval a bol som velmi prekvapeny kolko ludi pouziva rovnake hesla k blbostiam a zaroven napr. k heslam pre vypisy z uctov atd.
slaby clanok kazdeho jedneho systemu je vzdy uzivatel...
GPG sem v mozille nezkousel, ale vzhledm k tomu, ze to narozdil X.509 neni standardni soucasti instalace, pouziti X.509 urcite bude snazsi a navic to ma tu vyhodu, ze X.509 na rozdil od PGP neni hracka pro deti
Ano, skusal a pouzivam. Ale v predchadzajucom prispevku som hovoril o pouzivani webmailu cez web a nie cez POP3, takze tie maily sa do Mozilly ani nedostanu. Jedine copy&paste, co je to co som uz spominal.
No, firewall... Dnes sa uz firewall nazyva hocico. Zakladom firewallu je paketovy filter, ktory je v lepsom pripade stateful a dokaze 'zlepovat' pakety naspat.
Dnes sa ale uz do balikov oznacenych 'firewall' dava vsetko mozne, napr. filtrovania HTTP hlaviciek, ActiveX, atd. Na druhej strane, Win SP2 firewall nie je firewall ani v povodnom slova zmysle.
Filtrovanie na aplikacnej vrste je uz uplne nieco ine. To, co filtruje Referer a podobne veci z HTTP hlaviciek, je skor filtrovacia proxy, obcas to moze hranicit az s IPS. Inak tam je asi milion moznosti, co vsetko by sa dalo filtrovat. Ale ani filtrovacia proxy nezabrani napr. buffer overflowu v aplikacii, ten sa obecne neda zistit ani na aplikacnej vrstve. Len na zname chyby je teoreticky mozno osetrit nejakymi pravidlami. Co v podstate neriesi zakladny problem, tj. chybu v aplikacii.
No tak na tohle bych zrovna nesazel.. treba v microsoftu dela neuveritelny mnozstvi cechu.. od programatoru/delniku a po vysokej management.
Spis si myslim ze sance ze by nejakej ceskej postmaster hledal cesky uzivatele (pravda treba by to slo pomoci geoIP).. ale proc by to delal.. to by muselo stat za to.. clovek by se za tim musel pidit a u firem kde to stoji za to (treba z duvodu prumyslove spionaze) nebudou pouzivat freemail, ze..
Co je asi mene pravdepodobne je, ze je celkem nepravdepodobne aby se zarlivej ceskej chlap dostal do mailboxu svy holky na hotmailu,ze.. zatim co mit znamyho na seznamu neni problem,ze?:)
Argument který používáte je sice pěkný a jistě pravdivý, to že webmail nemá ošetřené session proti zcizení lépe je nicméně humpoláctví programátorů daného webmailu. Ošetřit se to totiž dá, i IP adresa není zdaleka jediný údaj který kontrolovat můžete, spousta dalších jdoucích referery vám to může poměrně snadno umožnit - a jsou to dokonce stabilnější údaje než jen IP. Stačí tudíž vytvářet si řetězec ze zvolených proměnných jež máte k dispozici a ten následně kontrolovat.
ad http://mail/img?url=http://...
Tak to dělají špatně. Já jsem nemyslel 302, ale něco na způsob anonymizer.com. Prostě jednoduchý skript, který by obrázek načetl a poslal.
Když nad tím teď přemýšlím, tak je ale lepší obrázky z venku prostě blokovat, stejně jako to dělají klasičtí POP3/IMAP klienti.
Da se to nastavit v naprosto libovolnem browseru. Jen je k nemu potreba priinstalovat Proxy server - Proxomitrona.
Tam lze pomoci regularnich vyrazu upravit vstup a vystup do browseru v podstate libovolne. Hlavne mi to zustane, kdyz menim prohlizec.
Jinak melo by to byt mozne nastavit snad i v jinych proxy - treba privoxy
Kdyby si nekdo chtel tohle v proxomitronu nastavit, tak staci pridat filtr do konfigurace:
In = FALSE
Out = TRUE
Key = "Referer: No cross-referrer"
Match = "http://(^\h)*"
Replace = "\u"
V ramci jedne domeny posila referer normalne, pri prechodu mezi dvemi domenami posle misto te nove strance jako referer adresu sebe sama.
Tuhle funkci ma snad vetsina firewallu. A jestli nekdo v dnesni dobe nepouziva firewall tak se nemuze divit, ze se vystavuje spouste bezpecnostnich rizik (at uz primych nebo v tomto pripade naslednych).
No, chvilu som sa musel snazit kym som dostal inu odpoved nez 'permission denied' :-) Prave toto zabralo. Mozno je to chyba konkretneho prehliadaca (konkretnej verzie). Mozno by stalo zato otestovat ktore prehliadace co povolia (nielen co sa cookies tyka).
V akom browseri sa to da takto presne nastavit? Ja pouzivam vacsinou Firefox 1.0 PR (este som ho nestihol vymenit za tu poslednu verziu), tam je tato moznost len pre https spojenia.
Hm, to moze byt dost uzitocna vlastnost. RFC 2616 to doporucuje, aby browsery mali taku moznost.
Vo Firefoxe napr. to sice je, ale vypnut/zapnut je ekvivalent editovania registrov vo Win (nie prilis pohodlne ak to clovek potrebuje prepinat castejsie). Na druhej strane, lahko by sa dal pre to spravit plugin.
Obcas ludia posielaju aj hesla, cisla bankovych uctov. Celkom bezne sa posielaju pracovne materialy, ktore by niekoho mohli zaujimat (aj ked odosielatelovi a prijemcovi sa to nezda).
Sifrovane https, resp. pop3s neponukaju vsetky webmaily standardne, zvycajne to uz patri pod platene sluzby. Medzi servermi (relay) sa pokial viem stale vacsinou posiela posta nesifrovane, ale to je tazsie napadnut, clovek by musel byt zamestnany napr. u ISP alebo mat napadnute stroje niekde po ceste mailu. Precitat si napr. ISP moze vsetku postu, co ide okolo, ale je rozdiel ze on nema (typicky) zaujem o postu konkretnej osoby.
Pouzivat napr. GPG s webmailom (to znamena bez POP3) je dost otravne (copy&paste, save, decrypt&verify...).
Ja si to nastavil tak, ze v ramci serveru se referer posila, ale mezi servery ne (rsp. neco tam podvrhnu, ale uz si nepamatuju co jsem tam presne nastavil).
BTW parent.location.cookie funguje? Ja mel za to, ze skript v jedne domene nemuze cist nic (cili ani location, ani cookies) pokud je to ve strance v jine domene...
Moznost ankety: "Webmaily používám jen na výměnu informací, které by mohly být klidně napsané i na pohlednici."
Rekl bych, ze email jde prirovnat spise nez k dopisu prave k pohlednici a to z mnoha duvodu/problemu (ktere rozhodne nevyresim stahovanim posty pres pop3).
Ale stejne jako ve skutecnem svete muzu zabalit pohled do obalky, tak jako v tom elektronickem existuje el. sifrovani & podpis zpravy.
Pripadne muzu (spravne) sifrovane postu stahovat a odesilat a doufam, ze dany postovni server neni kompromitovany, pokud jich je vic umi se (spravne) sifrovane domluvit a druha strana si email stahne/odesle odpoved rovnez (spravne) sifrovane.
V opacnem pripade sice take muzu psat co chci, ale (stejne jako u pohledu) pocitam s tim, ze si muze kdokoli po ceste precist, co v me zprave stoji.
A čež takhle místo zakazování obrázků neodesílat referrera. Třeba v Opeře to lze vypnout. Ovšem nezkoušel jsem jestli to platí i pro Opeřího mailového klienta.
Konečně jsem pochopil, nač je posílání pole referer v požadavku pošli mně tuhle stránku sem, k čemuž není toto pole k ničemu potřebné, kromě proděravění bezpečnosti.
Já bych v poli referer standardně odřezával všechny parametry, když už tam něco musí být, bezpečný prohlížeč tam rve konstantu nebo náhodný id...
No to je prave to co nefunguje...aspon tie testovane webmaily to tak robili. Skript img proste poslal HTTP 302 Found a presmeroval, ale browser posiela aj tak referer.
Jedna moznost je pouzit https, potom browser by _nemal_ podla RFC 2616 poslat Referer:
"Clients SHOULD NOT include a Referer header field in a (non-secure)
HTTP request if the referring page was transferred with a secure
protocol."
Ako to ktory browser dodrzuje, je uz druha vec, neskusal som vsetky.
Imho největší problém je spíš to, že autoři mailu nejsou schopni implementovat nic víc, než kontrolu IP a předpoklad, že útočník nemá session ID. Přitom není nijak obtížné vygenerovat řetězec který i se získaným session ID + IP adresou bude dál vzdorovat.
Je fakt, ze jsem presel upgradem z MSO 2000, ale tam jsem si to musel rucne nastavit (stejne jako reformat na prosty text)... nemyslim si, ze je to default nastaveni po instalaci...:-)
Mozilla Mail tu vlastnost ma uz davno (predpokladam ze i Thunderbird), u ostatnych klientov neviem, nepouzivam. S tym smirovanim to dost sedi, spammeri schvalne posielaju obrazok, ktoreho src=http://spammer.co.kr/?...id=45kjsd662As jednoznacne urci ktora mailova adresa je ziva, lebo pri otvoreni sa mu odosle request na obrazok.
Presne. Alebo naopak: ked uz mame heslo k webmailu, tak bude s velkou pravdepodobnostou rovnake pre rozne loginy uzivatela (napr. na vlastnom pocitaci).
souhlasim, v podstate z toho je sice zrejme, ze pokud se vam podari ziskat URL mailu, ze ktereho si nekdo zobrazil vas "obrazek", "muzete" se dostat do jeho emailu. Bohuzel nikde tu uz neni zmineno, zdali se tedy autor pomoci tohoto do zminenych ci spise nezminenych emailu vskutku dostal, ci nikoliv, takze mi to cele prijde jako placani padlem do vody, spousta povyku, ale pohyb zadny :)
Řekl bych, že oba webmaily jsou nebezpečné. Také bych nezmiňoval freemaily přímo.
Korektní by bylo upozornit provozovatele a třeba za dva týdny o nich napsat, v té době by to buďto měly opravené a nebo je to jejich blbost.
Jde tak trochu o objevení Ameriky, ale to nijak nesnižuje závažnost.
Je tedy potřeba filtrovat obrázky (třeba něčím jako http://mail/img?url=http://...), elementy <script>, atributy jako onmouseover atd.
Navíc existuje jeden prohlížeč (hádejte který;)), do kterého lze javascript propašovat i přes CSS, zkuste si poslat HTML mail s něčím takovým:
<p style="background: url('javascript:alert("hello world");');">...</p>
Nenačítáním obrázků v HTML e-mailech se Gmail možná inspiroval u MS Office Outlook 2003. Tam to tak (myslím) funguje hned po instalaci. Obrázky se nenačtou, ale lze je doplnit volbou přes pravé tlačítko...
Existuje další velmi elegantní způsob jak se dostat do cizího webmailu. Mnoho lidí používá stejné heslo na více (všech) službách. Stačí tedy vnutit oběti službu, o kterou má zájem a kde je vyžadována e-mailová adresa a heslo, a oběť s vysokou pravděpodobností použije heslo právě k tomuto mailu.
jednoduchá cesta jak zabránit čtení majlů ostatním je zřízení si webmailu v zahraničí a komunikovat česky, tedy nezabrání to třebas administrátorovi toho serveru aby si cokoli přečet, ale jazyková bariéra mu zabrání, aby z toho něčemu rozumněl, šance, že narazíte třebas v jihioafrické republice na krajana na postu postmastra je zanedbatelná