In riferimento alla news (http://www.hwupgrade.it/forum/showthread.php?t=1829150) riportata nell'apposita sezione, e vista la curiosita' che questa cosa sta suscitando, ho preparato una piccola "demo" di cio' che al momento e' la scommessa piu' gettonata su cosa potrebbe essere il clickjacking di Hansen e Grossman.

E' soltanto una demo che a differenza di altre (ne ho viste un paio gia' in giro) non usa neanche il trucchetto della opacita', ma un altro sistema molto piu' crudo :asd:

Premessa: e' soltanto una demo scemotta, un malintenzionato serio potrebbe impiegare piu' che qualche minuto per rendere un fake perfettamente funzionale allo scopo, senza stupidate CSS ecc.

Assicuratevi di essere loggati al forum, fate quanto riportato sulla pagina, e tornate qui :fagiano:

(ma molti noteranno gia' qualcosa di familiare nello scherzetto :D)

Link: http://www.sisulabs.com/hwup-clickjacking.htm


dimenticavo: per curiosita' provate con diversi browsers e dite cosa accade.

http://img01.picoodle.com/img/img01/3/10/6/t_Operam_f3f7c63.jpg (http://www.picoodle.com/view.php?img=/3/10/6/f_Operam_f3f7c63.jpg&srv=img01)

Ehm.......
Ciao spostato....ehm scusa ho messo una "t" di troppo.....volevo scrivere SPOSATO !!! :D :D :D :D :D

http://img01.picoodle.com/img/img01/3/10/6/t_Operam_f3f7c63.jpg (http://www.picoodle.com/view.php?img=/3/10/6/f_Operam_f3f7c63.jpg&srv=img01)

Ehm.......
Ciao spostato....ehm scusa ho messo una "t" di troppo.....volevo scrivere SPOSATO !!! :D :D :D :D :D

ops...grazie sampei... :D
dimenticate quel "diversi browsers" :D
ho dimenticato di mettere le patch per gli altri browsers. :fagiano:
provatelo con firefox e IE per ora :stordita: :D

(intendevo patch CSS)

Non provate ad usare nemmeno K-Meleon che ha un comportamento simile (non uguale) almeno la versione USB ad Opera (anche inserendo le funzioni identificati e mascherati).

Io sono allergico all'uso di I.E. :D e sul portatile non ho installato FF quindi aspetto pazientemente !! ;)

http://img28.picoodle.com/img/img28/3/10/6/t_kmeleonm_18ead22.jpg (http://www.picoodle.com/view.php?img=/3/10/6/f_kmeleonm_18ead22.jpg&srv=img28)

puoi provare di nuovo con opera? i css dovrebbero essere piu' o meno ok adesso :D

ricordati di loggarti al forum prima di fare la prova.
Se non sei loggato e non c'e' il cookie sul tuo browser, non funzionera'.
In questo esempio la "vittima" edita un campo di testo, ma in attacchi veri dei semplici click sono sufficienti per dirottare l'intenzione dell'utente su azioni di cui non e' consapevole. In tali casi - a differenza di questo esempio - si puo' rendere il sito "vittima" invisibile.
Se facessi cosi' con l'esempio qui riportato, non vedresti nulla anche se non sei loggato al forum (come invece si vede nell'immagine che hai allegato).
Se si dirotta soltanto un click, dunque... vabbeh, penso renda l'idea :fagiano:

puoi provare di nuovo con opera? i css dovrebbero essere piu' o meno ok adesso :D

ricordati di loggarti al forum prima di fare la prova.
Se non sei loggato e non c'e' il cookie sul tuo browser, non funzionera'.
In questo esempio la "vittima" edita un campo di testo, ma in attacchi veri dei semplici click sono sufficienti per dirottare l'intenzione dell'utente su azioni di cui non e' consapevole. In tali casi - a differenza di questo esempio - si puo' rendere il sito "vittima" invisibile.
Se facessi cosi' con l'esempio qui riportato, non vedresti nulla anche se non sei loggato al forum (come invece si vede nell'immagine che hai allegato).
Se si dirotta soltanto un click, dunque... vabbeh, penso renda l'idea :fagiano:



Non funziona ancora con entrambi i browser. (cioè K-Meleon 1.5 e Opera 9.52).
Ero naturalmente loggato anche quando ho inserito le immagini sopra.

Sisu io, come credo qualsiasi altro utente che usa Opera, ho impostato il browser per "accettare i cookie solo dal sito che si visita" e questi sono cancellati all'uscita non navigo mai accettando indiscriminatamente tutti i cookie.
Tu vuoi dire che per fare il test devo cambiare le impostazioni ?

.

Non funziona ancora con entrambi i browser. (cioè K-Meleon 1.5 e Opera 9.52).
Ero naturalmente loggato anche quando ho inserito le immagini sopra.

Sisu io, come credo qualsiasi altro utente che usa Opera, ho impostato il browser per "accettare i cookie solo dal sito che si visita" e questi sono cancellati all'uscita non navigo mai accettando indiscriminatamente tutti i cookie.
Tu vuoi dire che per fare il test devo cambiare le impostazioni ?

Se cambi impostazioni e' normale che non funzioni.
Questa cosa funziona per quel 95% che non tocca nulla nel browser :)
Prova a resettare le impostazioni dei cookies per simulare una situazione di partenza "tipica" della maggioranza degli utenti. Poi loggati nel forum e apri, per es. in un altro tab, la mia pagina. Poi immetti del testo e clicca su salva.
Alla fine l'importante e' rendere l'idea che e' possibile far fare all'utente qualcosa senza che egli lo sappia.
Nel caso specifico non viene usato Javascript, ma sempre considerando quella stragrande maggioranza di utenti che lasciano Javascript normalmente attivo, combinando questa tecnica con qualche riga di JS puoi ottenere una cosa da paura :D
In quel caso puoi gestire meglio cosa mostrare e cosa no, cosa attivare e quando.

con le impostazioni di default di opera, e internet exploer 7 settato su protezione medio-allta e privacy medio-alta, funzia :)

esatto :)

ma c'e' una differenza, comunque, che rende IE meno vulnerabile, come ho tentato di spiegare nel thread dove hai riportato la news.
A causa della implementazione della P3P (Platform for Privacy Preferences) di IE, il giochetto funziona soltanto se hai una sessione attiva del forum loggato, mentre esegui la pagina incriminata.
Prova a chiudere ogni finestra di IE e ad aprire poi direttamente la mia pagina, vedrai che non funziona, anche se il cookie e' ancora li'.
Prova poi con altri browser e vedrai che il comportamento e' diverso.
Per questo dicevo che cosi' come sono i browser, IE e' meno vulnerabile di altri poiche' devi avere una sessione attiva sul sito vittima affinche' il trucco funzioni.

Certo che quando torni ti fai sempre sentire, non entri in punta di piedi eh :D :D

Certo che quando torni ti fai sempre sentire, non entri in punta di piedi eh :D :D

A dire il vero sto cazzeggiando perche' un meeting e' saltato a causa di un altro a cui non partecipo, e sto aspettando delle direttive. :D
E tu? non dovresti essere a studiare invece di cazzeggiare sul forum come me? :D

E chi me lo da il tempo di studiare :D Il lavoro mi assorbe abbastanza :)

E chi me lo da il tempo di studiare :D Il lavoro mi assorbe abbastanza :)

E meno male che e' soltanto una collaborazione a distanza, e se ti facessi assumere a tempo pieno? :D

Cmq come riprova del mio cazzeggiare, ho trovato questa cosa lollosa :D
http://www.impossibe.com/uk/index.php?m=Sisupoika

Create il vostro custom Google! :sbonk:

http://www.sisulabs.com/shots/2008-10-06_175727.png


Ok, adesso torno serio :fagiano: :D

E meno male che e' soltanto una collaborazione a distanza, e se ti facessi assumere a tempo pieno? :D


No no, da parecchio non è piu collaborazione a distanza ;)

PS: sono tornato l'altro ieri dall'UK :D

.

No no, da parecchio non è piu collaborazione a distanza ;)

PS: sono tornato l'altro ieri dall'UK :D

E non mi dici niente? :Prrr:
La prossima volta che vieni (se e' nei dintorni) fammi sapere, cosi' ci prendiamo un caffe' e proviamo a vedere quanto tempo trascorre prima che si incominci a parlare di queste cose :D

Ho provato, ma è necessario chiudere completamente il browser (parlo di IE)...


yep ;)

E non mi dici niente? :Prrr:
La prossima volta che vieni (se e' nei dintorni) fammi sapere, cosi' ci prendiamo un caffe' e proviamo a vedere quanto tempo trascorre prima che si incominci a parlare di queste cose :D


Da quello che ho capito, sono piu o meno 2 ore e mezzo di strada (Derby) :fagiano: :stordita:

Da quello che ho capito, sono piu o meno 2 ore e mezzo di strada (Derby) :fagiano: :stordita:

Derby? non so neanche di preciso dov'e' LOL :D

cmq seconda demo in arrivo a breve... e' in forno :asd:

E meno male che e' soltanto una collaborazione a distanza, e se ti facessi assumere a tempo pieno? :D

Cmq come riprova del mio cazzeggiare, ho trovato questa cosa lollosa :D
http://www.impossibe.com/uk/index.php?m=Sisupoika

Create il vostro custom Google! :sbonk:

http://www.sisulabs.com/shots/2008-10-06_175727.png


Ok, adesso torno serio :fagiano: :D


:rotfl: :rotfl: :rotfl: :rotfl:
azz a me non funge la demo anche disattivando tutto ne ie7 ne ff 3 :confused: ???

.

OK fatto,grazie per la demo, Sisu !! ;) :D

Io però rimango fedele al mio Opera che uso da quando aveva ancora il pop-up pubblicitario,quindi quando la maggior parte degli utenti usava ancora I.E. (visto che FF se non erro non era ancora nato).:sofico:

p.s. Perdona ieri, per la mia assenza dopo quei 2 messaggi.........sai quel detto,se non lo sai avrai modo di scoprirlo, che recita:

"figli piccoli problemi piccoli,figli grandi problemi grandi"

beh è verissimoooooo !!! :doh: :doh: :doh:

p.s. 1 L'inghilterra è fredda e piove !!! :Prrr: :Prrr: :Prrr: :Prrr:

con firefox ci sono problemi con il pulsante

con IE vai verso la parte finale del pulsante, (cioè la base) e clicca (iframe (http://esempio.notlong.com/)). Ovviamente devi essere loggato sul forum



quindi l'utilità pratica è prossima allo zero

Se ti applichi piu' di qualche minuto l'utilita' pratica salta :fagiano:

OK fatto,grazie per la demo, Sisu !! ;) :D

Io però rimango fedele al mio Opera che uso da quando aveva ancora il pop-up pubblicitario,quindi quando la maggior parte degli utenti usava ancora I.E. (visto che FF se non erro non era ancora nato).:sofico:

p.s. Perdona ieri, per la mia assenza dopo quei 2 messaggi.........sai quel detto,se non lo sai avrai modo di scoprirlo, che recita:

"figli piccoli problemi piccoli,figli grandi problemi grandi"

beh è verissimoooooo !!! :doh: :doh: :doh:

p.s. 1 L'inghilterra è fredda e piove !!! :Prrr: :Prrr: :Prrr: :Prrr:


sampei stai bene? :D

sampei stai bene? :D

Chi IO ?
Benissimo !!....di testa (credo), meno di portafoglio, perchè ho appena fatto un ordine su BOL.it (c'è la spedizione gratis per ordini almeno di 29 €) per un compleanno...........:ciapet: :ciapet:

fine O.T.

:D Chi IO ?
Benissimo !!....di testa (credo), meno di portafoglio, perchè ho appena fatto un ordine su BOL.it (c'è la spedizione gratis per ordini almeno di 29 €) per un compleanno...........:ciapet: :ciapet:

fine O.T.

.

tu hai detto che l'attacco va a buon fine solo se si ha una sessione attiva (perchè l'implementazione del p3p in ie funziona così), giusto?

io ti ho risposto che chiudere il browser (per non avere più la sessione attiva) non mi pare una soluzione utile. Chi è che chiude e poi riapre il browser ad ogni pagine che visita? [giusto per stare in tema di facilità, e comodità di utilizzo]

Ma poi se il sito utilizzasse questo protocollo p3p, il cookie verrebbe comunque accettato?

:stordita:

La risposta e' si': se il sito invia appresso agli header un header "P3P" con le giuste istruzioni, il browser lascera' che i cookies siano accessibili anche in un iframe a prescindere da sessioni attive o meno del sito.
Ho capito bene la domanda? :D

Cmq, in risposta al tuo "...chi e' che..."... imho con questi sistemi - soprattutto se poi alla fine il clickjacking di Hansen e Grossman si rivela qualcosa di piu' figo :D - c'e' soltanto una pratica sufficientemente sicura per utilizzare siti sensibili come home banking ecc.:

- aprire il sito da se' in sessione unica, assicurandosi che non ci siano altre finestre o tabs nello stesso processo
- fare log off o accettarsi che il browser non accetti cookies per quei siti sensibili o che li elimini alla chiusura
- chiudere il browser prima di riaprirlo con altro :D

ma anche con 'sta paranoia sta sicuro che qualcosa qualcosa si puo' fare :D

.

(purtroppo la superficialità e la fretta sono sempre in agguato)

E' esattamente il concetto che cercavo di esprimere anche a riguardo di Noscript: dubito che non ci siano suoi utilizzatori che, appunto, per fretta e superficialita', o semplicemente per fiducia, tendono ad autorizzare scripts quando vengono bloccati...

intanto vi segnalo che anche flash player soffre di questo problema:

http://www.hwupgrade.it/forum/showthread.php?t=1837140

al momento non esiste una versione nuova che lo risolva

.

[...]

PS
la notizia era stata riporta anche da Chill-Out
http://www.hwupgrade.it/forum/showpost.php?p=24471933&postcount=34

mi dispiace ma mi era sfuggito

.

http://img504.imageshack.us/img504/9211/42797835kj7.th.jpg (http://img504.imageshack.us/my.php?image=42797835kj7.jpg)http://img504.imageshack.us/images/thpix.gif (http://g.imageshack.us/thpix.php)



http://img235.imageshack.us/img235/7451/83360282uf1.th.jpg (http://img235.imageshack.us/my.php?image=83360282uf1.jpg)http://img235.imageshack.us/images/thpix.gif (http://g.imageshack.us/thpix.php)



http://img219.imageshack.us/img219/6735/37832801sp3.th.jpg (http://img219.imageshack.us/my.php?image=37832801sp3.jpg)http://img219.imageshack.us/images/thpix.gif (http://g.imageshack.us/thpix.php)


:sofico:



LOL :D

Appena ho tempo ci gioco un po'. Certamente ci sara' un modo per ovviare :asd:

http://www.youtube.com/watch?v=gxyLbpldmuU :D

.

Non so se è un falso-positivo, non ho avuto tempo di indagare.
NoScript ha aperto una simpatica finestrella, da notare che in quel momento stavo navigando gli script abilitati globalmente :)

http://img523.imageshack.us/img523/3939/clickjackingok4.th.png (http://img523.imageshack.us/my.php?image=clickjackingok4.png)