Nejste přihlášen/a.
I Když nebudete asi drtivé většině věcí ve videu rozumět, tak vydržte až do konce, tam jsou dvě políčka, která si můžete ve svém účtu na seznamu zkontrolovat.
Ten popsaný kombinovaný útok byl nakonec funkční na 100% uživatelů seznamu (kteří jen klikli na webu seznamu nebo na odkaz - V ukázce byl facebookový příspěvek) - pc mobil tablet všude, nic dalšího netřeba dělat, a za 1s byla session fuč.
Za mě jak na prevence? : nepoužívat emaily přes webovou službu (ale přes IMAP), a nebýt trvale přihlášen na seznam učet. Člověk nemůže vědět, že zrovna na stránce seznamu mi klikne na XSS
Jo a perlička, 4. chybu ani po dohodě nezveřejnil, to musela být úplná školácká hloupost seznamu. finanční odměna 35000,- byla nejspíš za to
A otázka na rádce: Víte, co je to XSS a jak to funguje?
youtu.be/...
1x
XSS je starý dobrý Cross site scripting cs.wikipedia.org/...
Na naivních stránkách zadáš něco, co by měl být obyčejný text, ale není, protože to obsahuje nějakou akci, třeba jako HTML tag.
Naivní stránky si to uloží a pak to komukoli zobrazí i s tou akcí, aniž by jí zabránily spustit se (například menšítko < vypíšou jako menšítko, nikoli HTML entitu & LessThan ; ) a jeho prohlížeč tu akci spustí a ta akce provede něco, co je uložené jinde, například mu na jeho server odešle nastavení tvojich cookies.
----
Na konci ukazuje nastavení v Seznamu na sdílení účtu a přeposílání pošty, to neučkodí zkontrolovat.
Pro odhlášení ze seznamu je v tom mailu potřeba nejen kliknout na "odhlásit se", ale potom ještě na "manage account"a "unsubscribe from accounts", jinak si člověka furt pamatuje a má ho za "tak nějak přece jen přihlášeného".
(A nebojte se, i po tomhle odhlášení váš účet existuje a prohlížeč si pamatuje jeho jméno a heslo.)
----
Nekoukal jsem na to celé, je to strašlivě dlouhé a na začátku se příšerně vykecává. Dá se to nějak rozumně shrnout?
-----
(Mám vágní dojem, že naznačoval, že aby ten útok fungoval, tak musí být člověk přihlášený na seznamu a odkliknout něco na facebooku, nebo jedné z asi 4 seznamáckých stránek, ale nejsem si jistý, fakt je to strašně dlouhé a řídké)
doplněno 18.10.23 06:52:
@kdekde já to mám v prohlížeči FF na PC takto:
přihlásím se na email.seznam.cz a pročtu si maily
kliknu vpravo nahoře na svou ikonku, otevře se mi nabídka s asi 5 položkama, kde 3. je "odhlásit se". Kliknu na ni.
objeví se mi poloprázdná stránka, kde je seznam.cz, "Choose an account to continue", moje ikonka se zámečkem a jménem účtu, "Continue with another account"a "Manage accounts"- kliknu na to poslední
to poslední se přepíše na "Unsubscribe from accounts", kliknu na to.
Jsem odhlášený a objeví se tam dialog pro přihlášení.
Je docela dobře možné, že tobě se to objeví česky (nebo v jiném jazyce), ale mělo by to být na podobných místech s podobným významem
A co bylo ta chyba, co se dohodli na nezveřejnění, ví to někdo nebo tuší?
Ale celkově konstatoval, že seznam je hodně dobře zabezpečený, u jiných systémů najde chybu podstatně dříve.
Každopádně, video ukazuje, jak snadné je získat sušenku na dálku. A co lze se sušenkou provést…
Neneseme odpovědnost za správnost informací a za škodu vzniklou jejich využitím. Jednotlivé odpovědi vyjadřují názory jejich autorů a nemusí se shodovat s názorem provozovatele poradny Poradte.cz.
Používáním poradny vyjadřujete souhlas s personifikovanou reklamou, která pomáhá financovat tento server, děkujeme.