Nějak tomu nerozumím "a když pak na něj někdo jiný klikne, skript za něj projde přihlášením a dotyčný už je „uvnitř“ (nevidí přihlašovací stránku)". Nestačilo by dialog pro přihlášení chránit proti Cross-site request forgery (Wikipedia, OWASP) útoku?
Mám takovej smutnej dojem, že tenhle mechanismus, že se pomocí odkazu a scriptu dostanete za přihlašovací obrazovku, používají leda hacknuté odkazy na placené pornostránky.
Jaký by to mělo smysl, aby se na webu zveřejňoval odkaz na automatický vstup do cizí datové schranky, a hlavně jakou přidanou ochranu captcha uživateli přináší proti skutečnému útočníkovi, to opravdu nechápu....
Je tady někdo, kdo chápe, k čemu to má být dobré? CAPTCHA žádným způsobem neovlivní to, zda je něco považováno z právního hlediska za zneužití přístupových údajů. Pokud někdo ty přístupové údaje zneužije vědomě, klidně si opíše i tu CAPTCHU. Takže jediná varianta, proti které je ta CAPTCHA zřejmě zaměřena, je: někdo získá cizí přístupové údaje a vytvoří na webu formulář, který se těmito údaji přihlásí do ISDS. Naláká někoho jiného, aby na tento formulář kliknul – dotyčný klikne, dostane se do datové schránky někoho jiného, za což by měl být asi za úsvitu zastřelen. Aby se tomu vyhnul, je mu předhozena ještě CAPTCHA, která ho má zastavit, aby zjistil, že někomu naletěl. Nebylo by ovšem v takovém případě jednodušší i praktičtější na stránku mezi přihlášení a vlastní vstup do ISDS místo CAPTCHY dát informaci o tom, že se uživatel právě přihlašuje do ISDS, a zda to chce opravdu udělat?
Pokud nekdo jiny klikne na pristupove udaje a dostane se k IDS, neni odpovedny, neb ani nevi, ze dela neco spatneho, resp. muze na odkaz kliknout mimodek (nebo byt automaticky presmerovan). Jenze, kdyz jeste k tomu takovy napaleny vyplni captchu, ze sve vule jiz udela neco, co lze povazovat za zneuziti, zvlastne, pokud u te captchy bude nejaky text.
Když nad tím odkazem s přístupovými údaji bude napsáno „právě jste vyhráli milion korun, pro získání výhry klikněte na následující odkaz a na další stránce vyplňte podle návodu zadaná čísla“, napálený vyplní CAPTCHu stejně automaticky, jako klikl na odkaz. Že se přihlašuje do ISDS stejně nebude vědět (protože tam žádný text v tomto smyslu není, a i kdyby byl, nikdo to nebude číst). Navíc pokud by to byl cílený útok na konkrétní osobu, není problém, aby tu CAPTCHu za postiženého vyplnil sám útočník.
Kdyby si akce zpracovávající přihlašovací hlídala referrer (pokud není prázdný) a pomocí JS hlídala, že není spuštěna v rámci, bylo by to pro tento typ útoku daleko užitečnější.
Vše je text, takže by jim to nemělo dělat problém. Otázka je, jak jednoduché/těžké pro ně bude získání číslic na daných pozicích, ale to nedokážu posoudit.
Nejsem si jist, zda ISDS vyžaduje fungování cookies. Pokud ne, pak tenhle způsob nejde použít (protože pak session můžete přenášet jen v URL, takže ji útočník získá spolu s klíčem).
Hmm, rek bych, ze kdyz uz si nekdo da tu praci ze si sezene nejake ty acc do DS, tak si da i tu praci aby se naucil obejit tuhle kravinu. Nemluve o tom, ze pokud je mi znamo, do DS se umi prohlasi vsemozne aplikace ktere umi stahnout jejich obsah, tam se taky zobrazuje captha ? Asi tezko, to nby to moc nefungovalo => byl bych asi hodne velky magor, kdybych lez pres plot kdyz muzu jit otevrenou branou.
A zakony CR se pokud vim nevztahuji na cely svet, kdezto do DS se z celeho sveta dostat da => klidne si muzu najit tu spravnou zemi, ze ktere udelam nejaky slusny atak na DS a navic to bude naprosto legalni :D. Nejaky zakon nejake CR mi muze byt na ostrove ptaka Noha ukraden.
Otázkou je, zda tím není porušena vyhláška o ISDS, protože ta říká jasně, jaké postupy se pro přístup do DS používají. A zatěžovat občana dalším zadáváním číselného kódu je nejen otravné, ale pravděpodobně i nezákonné.
Tak obrazku je po netu hafo a texty nikdo necte, natoz nake plky o nejakych zakonech => klido a obratem CAPTHA vyplni aniz by musel tusit kam leze. Ostatne jakozto ten kdo ho nasmeruje na DS mu muzu v klidu zobrazit neco na zpusob "jestli chces vazne to porno videt, tak vypln nasledujici ..."
Pochopil jsem to stejně. Ono hlavně v tomto případě žádná Captcha není potřeba. Prostě při zobrazení přihlašovacího formuláře přidám tajný klíč do formuláře i session a po jeho odeslání je navzájem porovnám. Kliknutím na odkaz na jiném serveru (CSRF útok) se tohle obejít nedá. Jediná možnost je "ovládat" prohlížeč uživatele, ale to pak už nepomůže ani ta Captcha :-).
Nějak tomu nerozumím "a když pak na něj někdo jiný klikne, skript za něj projde přihlášením a dotyčný už je „uvnitř“ (nevidí přihlašovací stránku)". Nestačilo by dialog pro přihlášení chránit proti Cross-site request forgery (Wikipedia, OWASP) útoku?