Et fristed

Så lenge jeg kan huske har Internett vært et fristed for meg. Ikke for det at jeg har hatt et ekstra stort behov for et fristed, men på grunn av at det har alltid vært en viss mystikk knyttet til kallenavn på Internett. Før, og nå også i de fleste sammenhenger går jeg under kallenavnet «xqus» og for eksempel noen av de jeg husker best fra IRC tiden er farkas, mfufu og kanskje spydx. Og hva så? Akkurat, dette er bare kallenavn. Det sier ingenting om hva disse personene heter, hvor gamle de er eller hvor de kommer fra. Men spiller det noen rolle da? Nå heter alle sammen
Det var det som var så fint med Internett «før». Før Facebook.

------------------------------------------------------------------------
Cross-Site Scripting (XSS) at nettby.no edit_link.php
------------------------------------------------------------------------

Author: Audun Larsen (larsen at xqus dot com)
Date: Jan 10, 2010

--AFFECTED SOFTWARE--------------------------

Name: nettby.no
nettby.no is a norwegian social network run by
Nettby Community AS.

--DISCUSSION---------------------------------

nettby.no is vulnerable to a Non-Persistent (or reflected)
Cross-Site Scripting attack. The problem exists because of the lack

Yubikey fra det svenske selskapet Yubico er en løsning som gjør at alle kan implementere tofaktors autentisering i sine web applikasjoner.

Yubikey er rett og slett en kodegenerator omtrent som den du får av nettbanken din. Forskjellen er at hvem som helst kan implementere støtte for Yubikey i sine tjenester uten at det koster de en krone. For deg som bruker betyr det at dersom du kjøper en Yubikey (til ca 140 kroner) kan du benytte den på alle nettsteder som støtter dette.

RSnake skrev for noen dager siden en artikkel om DNS rebinding i Firefox på ha.ckers.org. Dette vekket interessen min for et emne som er veldig vanskelig å forstå seg på, nemmelig DNS pinning.

For å forstå DNS pinning må men først forstå "same origin policy" i nettlesere. Kort fortalt er dette en mekanisme som gjør at en ressurs som kommer fra www.example.com ikke kan gjøre forespørsler til andre adresser enn www.example.com. Det vil si at et JavaScript kan ikke kjøre Ajax forespørsler til en annen server enn den det selv ligger på. Dette er en begrensing i alle moderne nettlesere for å beskytte brukere mot ondsinnet kode.

Cross-Site Request Forgery, eller Session Riding som det også kalles er ikke noe nytt. Det ble først diskutert i en melding til Bugtraq i 2001, og er et velkjent problem blant hackere. Løsningen er også enkel, nemmelig bruk av engangs "tokens".

Forskere har kommet frem til tre grunnleggende ting i twitter plattformen som er et problem for brukernes sikkerhet.

Det nye store på phishing fronten er altså in-session-phishing, noe som utnytter en bug i javascript motoren til alle de store nettleserene. Metoden krever at du allerede er logget inn på en nettside, og deretter åpner en ny fane og går inn på en annen side som er infisert med ondsinnet kode.

Grunnen til at jeg ikke har noe tro på at dette kommer til å bli en stor trussel er for at det er for mange tilfeldigheter som skal til for at angrep skal bli vellykket. Det er også lite å tjene på å benytte seg av denne metoden, i forhold til tradisjonell phishing.