‫תגובות לפוסט: "זהירות – oAuth"‬

‫מאת: איל שחר‬

‫איל שחר‬ — Mon, 05 Oct 2009 10:08:54 +0000

הנה הפתרון של יאהו. גם סמל וגם טקסט.
https://protect.login.yahoo.com/
פלג – תודה על הלינק.

‫מאת: פלג‬

‫פלג‬ — Sun, 04 Oct 2009 20:15:21 +0000

השאלה כמה הגנה יש לך על מנגנון הסמל הזה?
כי סתם להטמיע אותו בקוקי לא תמיד מספיק, כי אם מישהו מבצע עליך פעולת XSS הלך עליך ושום סמל לא יעזור לך כי גם הפרטים שלך יישלפו.
באחרונה היה מאמר ב THEMARKER על אתרים שמכילים SSL לדוגמא, אבל גם כשהתמשתמש מקבל התראה שה SSL לא בתוקף או כל אזהרה אחרת אנשים מתעלמים וממשיכים הלאה (שזה אף חמור יותר מסתם להסתכל על שורת הכתובת ב FB)
יש דיון בנעיין זה באתר גל גיא מזרחי http://www.hacking.org.il/1132

‫מאת: Majento‬

‫Majento‬ — Sun, 04 Oct 2009 19:46:48 +0000

יכול להיות סמלים, אני מעדיף פשוט לראות את השם שלי, אותו הנד-שייק + אינדיקטור, שפה משותפת לכל השרותים שאתה רשום אליהם.

‫מאת: איל שחר‬

‫איל שחר‬ — Sun, 04 Oct 2009 18:05:40 +0000

אני חושב שיאהו עשו משהו ממש כזה, למרות שאני לא מצליח למצוא עדויות.
הרעיון הוא לשמור לך בקוקי איזשהו סמל שאתה בוחר, ואז בחלון האותנטיקציה אתה רואה את הסמל הזה.

‫מאת: Majento‬

‫Majento‬ — Sun, 04 Oct 2009 17:30:55 +0000

עם כל הכלים היעודיים למניעת פישינג ועל אף הטמעתם בבראוזרים אכן אין תחליף ראוי לקשר עין הדוק עם שורת הכתובת, האתגר הוא לחנך מיליארדים לשים לב.
אני חושב שפייסבוק (ושאר הרשתות) יכולים לייעל\לייחד את הכפתור המוכר, הוא צריך להכיל נתון, סימן מוסכם, משהו חי שיכול להגיע רק מפייסבוק.
כל עוד אני לוגד-אין, פייסבוק יכולה למשל להציג את השם שלי בתוך הכפתור כשאני נוחת באתר חיצוני… נשמע הגיוני?

‫מאת: איל שחר‬

‫איל שחר‬ — Sun, 04 Oct 2009 07:14:45 +0000

חס ושלום… יש לי תירוץ לצילומסך…

‫מאת: Uzi‬

‫Uzi‬ — Sun, 04 Oct 2009 05:50:09 +0000

What worries me is the fact you are using Internet Explorer.

‫מאת: ניצן‬

‫ניצן‬ — Sat, 03 Oct 2009 20:27:14 +0000

הקוד שפייסבוק מספקת מממש בפופאפ, אבל ראיתי כבר יישומי לייטבוקס שיודעים לתפוס פופאפים ולהציג בשכבה שלהם.
אותו הליך אימות זהות הוא השם משתמש והסיסמא שלך, שזה לא שונה מהונאות פישינג רגילות שמציגות לך את עמוד הכניסה לבנק שלך ורק תעיז להכניס שם את הפרטים שלך. בטוויטר למשל אתה לא מקבל פופאפ אלא מועבר לעמוד של טוויטר, אותו כנ"ל גם לגבי פייפאל לצורך העיניין – אבל בסופו של דבר, אם המשתמש אינו זהיר הוא ייפול בפח וזו בדיוק הסיבה שהונאות פישינג מתבצעות בהיקפים של מליונים ולא על פרטים בודדים.

‫מאת: איל שחר‬

‫איל שחר‬ — Sat, 03 Oct 2009 18:30:07 +0000

ניצן, אני לא חושב שזה בשליטתך אם לממש את זה בלייטבוקס או בפופאפ. פעם זה היה לייטבוקס, אבל פייסבוק שינו את זה.
בעיקרון אתה צודק עם האזהרה הכללית, אבל העניין הוא שב-oAuth אתה לא "מוסר פרטים", אלא רק מבצע אימות זהות. וזה, כאמור, בהנחה שמדובר באותנטיקציה אמיתית. ובעידן האפליקציות כזבובים ברשת, אנחנו נוטים להיות פזיזים ולא להתעכב עם שאלות קרדביליות של האתרים.

‫מאת: ניצן‬

‫ניצן‬ — Sat, 03 Oct 2009 18:23:48 +0000

שלא לדבר על אתרים שמטמיעים את הפתרון בלייטבוקס במקום בפופאפ ואז באמת אין לך סיכוי לדעת לאיפה אתה מגיע.
אבל בסופו של דבר זה נופל באותה אזהרה מוכרת וידועה – אל תיתן את הפרטים שלך למי שאתה לא מכיר ולא סומך עליו. בתכלס זו שיטה שדורשת הרבה מאוד מאמץ – הגנב צריך לייצר אתר שהוא מספיק אטרקטיבי כדי שאנשים יכנסו ויתפתו להגיב. זה יותר מדי עבודה, תביא לי מחשב וראוטר ותראה מה אפשר להרים בכמה דקות.