Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > News - AV e sicurezza
Ricarica la Pagina Nuovo attacco: Clickjacking

Lenovo Factory Tour: siamo entrati nella fabbrica ungherese che produce PC, storage e server
Lenovo Factory Tour: siamo entrati nella fabbrica ungherese che produce PC, storage e server
Edge9 ha visitato lo stabilimento produttivo di Lenovo nei pressi di Budapest in Ungheria, che serve tutta la zona EMEA per i prodotti “business”: PC, storage e server. Un impianto all’avanguardia, con altissimi tassi di efficienza ma anche una grande attenzione alle condizioni lavorative dei dipendenti e alla sostenibilità ambientale
Acer Nitro V 15, alla prova il notebook gaming essenziale con RTX 4050 Laptop
Acer Nitro V 15, alla prova il notebook gaming essenziale con RTX 4050 Laptop
Acer Nitro V 15 è un notebook gaming che punta sul rapporto prezzo-prestazioni per garantire a chi ha un budget intorno o persino inferiore ai 1000€ di giocare abbastanza bene in Full HD grazie alla RTX 4050 Laptop di NVIDIA e la compatibilità con il DLSS 3.
Stellar Blade: l'action RPG di Shift Up sfoggia uno stile (quasi) unico su PS5 - Recensione
Stellar Blade: l'action RPG di Shift Up sfoggia uno stile (quasi) unico su PS5 - Recensione
Primo grande progetto della coreana Shift Up, Stellar Blade è il racconto apparentemente poco originale di un mondo post-apocalittico. La nuova esclusiva PS5 ha attirato l'attenzione di numerosi giocatori per i motivi più disparati: scopriamo i suoi principali punti di forza nella nostra recensione.
Starfield, confermata la grande patch di maggio: 60fps su Xbox Series X e le altre novità
Quel pasticciaccio brutto dei bucket S3 su AWS: si paga (caro) anche per le richieste di accesso negate
Tim e Oracle si alleano: la telco ospiterà la seconda Oracle Cloud Region italiana
Armi nucleari controllate dall'intelligenza artificiale? Gli Stati Uniti chiedono a Russia e Cina di prendere una posizione
Opel svela nuovo Grandland elettrico: tutto made in Germany, energia da fotovoltaico
Einstein Probe: il telescopio spaziale a raggi X euro-cinese ha catturato le prime immagini
La nuova serie di punta HUAWEI Pura 70 è disponibile da oggi in Italia! Prezzo e dettagli
Blackview BL9000 Pro: rugged top di gamma con fotocamera termica FLIR
500 milioni di euro per il nuovo data center di Data4 a Milano
Logitech G Cloud: la console portatile con batteria a lunga durata costa ora 313€ su Amazon
Gli astronauti di Shenzhou-17 hanno completato la loro missione a bordo della stazione spaziale Tiangong
Tutti gli articoli Tutte le news

Vai al Forum
Pagina 3 di 3 < 1 2 3
Rispondi
 
Strumenti
Old 08-10-2008, 12:07   #41
Sisupoika
Registered User
 
Iscritto dal: Nov 2006
Città: Espoo, Finland
Messaggi: 1631
Quote:
Originariamente inviato da W.S. Guarda i messaggi
A questo affiancaci lo storage lato client e vedi che bel casino salta fuori

Non ci si scappa, l'architettura alla base è troppo debole, si ha pensato troppo alle funzionalità e troppo poco alla sicurezza. Ora ne hai voglia di metterci pezze.

Un hips per verificare il comportamento del codice web penso sarebbe ancora più complesso rispetto a quelli che conosciamo. Buona l'idea, ne ho sentito parlare anche un annetto fa, da qui ad implementarla... è una grande sfida.
secondo me before long si comincera' a parlare di una riscrittura del sistema
Sisupoika è offline   Rispondi citando il messaggio o parte di esso
Old 08-10-2008, 12:12   #42
W.S.
Senior Member
 
L'Avatar di W.S.
 
Iscritto dal: Nov 2005
Messaggi: 1868
Quote:
Originariamente inviato da Sisupoika Guarda i messaggi
secondo me before long si comincera' a parlare di una riscrittura del sistema
Eh, sarebbe cosa buona e giusta

Ma quanti anni ci vorranno prima di realizzarla?
__________________
[ W.S. ]
W.S. è offline   Rispondi citando il messaggio o parte di esso
Old 08-10-2008, 13:58   #43
Sisupoika
Registered User
 
Iscritto dal: Nov 2006
Città: Espoo, Finland
Messaggi: 1631
Quote:
Originariamente inviato da W.S. Guarda i messaggi
Eh, sarebbe cosa buona e giusta

Ma quanti anni ci vorranno prima di realizzarla?
Uhm...vediamo. Se penso che IPv6 e' ancora li' ad aspettare... uhm... non la vedo bene
Sisupoika è offline   Rispondi citando il messaggio o parte di esso
Old 08-10-2008, 15:12   #44
riazzituoi
Bannato
 
Iscritto dal: Aug 2007
Messaggi: 3847
.
Ultima modifica di riazzituoi : 29-04-2010 alle 11:45.
riazzituoi è offline   Rispondi citando il messaggio o parte di esso
Old 08-10-2008, 16:48   #45
Sisupoika
Registered User
 
Iscritto dal: Nov 2006
Città: Espoo, Finland
Messaggi: 1631
Quote:
Issue #1 STATUS: Unresolved. Clickjacking allows attackers to subvert clicks and send the victim’s clicks to web-pages that allow themselves to be framed with or without JavaScript. One-click submission buttons or links are the most vulnerable. It has been known since at least 2002


Quote:
If you like Michael Zalewski’s term “UI redress attack
"UI redress attack" suona piu' figo

Quote:
Issue #2 STATUS: Unresolved. ActiveX controls are potentially susceptible to clickjacking if they don’t use traditional modal dialogs, but rather rely on on-page prompting. This requires no cross domain access, necessarily, which means iframes/frames are not a prerequisite on an attacker controlled page.
Anche questo e' noto da anni. Uhm...

Quote:
Turning off microphone access in the BIOS and unplugging/removing controls to the camera are an alternative.
Oppure, se si ha un microfono USB, si puo' impostare l'ingresso mic della scheda audio come predefinito, e attivare quello usato soltanto nelle applicazioni che lo usano

La webcam? La giri contro la parete quando non la usi

Quote:
Issue #2c STATUS: To be fixed in Flash 10 release. All versions of Flash on IE7.0 and IE8.0 can be overlayed by opaque div tags. Using an onmousedown event handler the object click registers as long as the divs are removed by the onmousdown event handler function. Demo here of stealing access to the microphone.
Come dicevo in un altro post, questo e' un esempio di come si possono sfruttare tecniche vecchie, in modalita' del tutto nuove. Geniale, cmq.

Quote:
Issue #3 STATUS: To be fixed in the final release candidate. Flash on IE8.0 Beta is persistent across domains (think “ghost in the browser”). This would be a much worse vulnerability except for the fact that it beta and almost no one is using it.
LOL

Quote:
Issue #4 STATUS: Unresolved. Framebusting code does not appear to work well on some sites on IE8.0 Beta. Instead it is marked as a popup which is blocked by the browser - disallowing the frame busting code from executing.
Azz, IE8 sembra iniziare bene
Ma dico, neanche le basi?

Quote:
Issue #5 STATUS: Unresolved. State of clicks on other domains can be monitored with JavaScript (works best in Internet Explorer but other browsers are vulnerable too) which is cross domain leakage and can allow for more complex multi-click attacks. For example a page that has a check box and a submit button could be subverted upon two successful clickjacks. Additionally, this can make the attack completely seemless to a user by surrendering control of the mouse back to the user once the attack has completed.
Questa suona figa..uhm... bisogna fare delle prove


Quote:
Issue #6 STATUS: Unresolved. “Unlikely” XSS vulnerabilities that require onmouseover or onmousedown events on other parts of pages on other domains are suddenly more likely. For example if a webpage has a XSS vulnerability where the only successful attacks are things like onmouseover or onmousedown, etc… on unlikely parts of the page, an attacker can promote those exploits by framing them and placing the mouse cursor directly above the target XSS area. Therefore, otherwise typically uninteresting or unlikely XSS exploits can be made more dangerous.
Questa e' una altra conseguenza del trick datato, non vedo perche' considerarla a parte

Quote:
ecurity=restricted as a way to break frame busting code, and that is true, although it also fails to send cookies, which might break any significant attacks against most sites that check credentials.
Infatti, ma non si e' parlato per niente di P3P.
Vado a lasciare un commento. A dopo
Sisupoika è offline   Rispondi citando il messaggio o parte di esso
Old 08-10-2008, 17:14   #46
Sisupoika
Registered User
 
Iscritto dal: Nov 2006
Città: Espoo, Finland
Messaggi: 1631
Ho lasciato un commento. Sono curioso di capire se c'e' un motivo per cui P3P (e cio' che avrebbe dovuto essere) non e' stato neanche menzionato in occasione di questa "scoperta".
Forse mi sono perso qualcosa...
Sisupoika è offline   Rispondi citando il messaggio o parte di esso
Old 09-10-2008, 15:08   #47
riazzituoi
Bannato
 
Iscritto dal: Aug 2007
Messaggi: 3847
.
Ultima modifica di riazzituoi : 29-04-2010 alle 11:46.
riazzituoi è offline   Rispondi citando il messaggio o parte di esso
Old 20-12-2008, 16:04   #48
riazzituoi
Bannato
 
Iscritto dal: Aug 2007
Messaggi: 3847
.
Ultima modifica di riazzituoi : 29-04-2010 alle 11:46.
riazzituoi è offline   Rispondi citando il messaggio o parte di esso
Pagina 3 di 3 < 1 2 3
 Rispondi

« Discussione precedente | Discussione successiva »

Lenovo Factory Tour: siamo entrati nella fabbrica ungherese che produce PC, storage e server Lenovo Factory Tour: siamo entrati nella fabbric...
Acer Nitro V 15, alla prova il notebook gaming essenziale con RTX 4050 Laptop Acer Nitro V 15, alla prova il notebook gaming e...
Stellar Blade: l'action RPG di Shift Up sfoggia uno stile (quasi) unico su PS5 - Recensione Stellar Blade: l'action RPG di Shift Up sfoggia ...
Recensione Zenfone 11 Ultra: il flagship ASUS ritorna a essere un 'padellone' Recensione Zenfone 11 Ultra: il flagship ASUS ri...
Appian: non solo low code. La missione è l’ottimizzazione dei processi con l'IA Appian: non solo low code. La missione è ...
Starfield, confermata la grande patch di...
Quel pasticciaccio brutto dei bucket S3 ...
Tim e Oracle si alleano: la telco ospite...
Armi nucleari controllate dall'intellige...
Opel svela nuovo Grandland elettrico: tu...
Einstein Probe: il telescopio spaziale a...
La nuova serie di punta HUAWEI Pura 70 &...
Blackview BL9000 Pro: rugged top di gamm...
500 milioni di euro per il nuovo data ce...
Logitech G Cloud: la console portatile c...
Gli astronauti di Shenzhou-17 hanno comp...
Windows, l'errore 0x80070643 non pu&ogra...
Il prossimo Batman: Arkham non è ...
Claude sbarca su iOS e lancia il nuovo p...
Offerte sensazionali su Amazon ora: iPad...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi
Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 21:18.

Contattaci - Hardware Upgrade - Archivio - Note sulla Privacy - Su

Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Served by www1v