Autor Zpráva
Kahlan
Profil
Ahoj,
nechci, aby to vypadalo, že se pouštím do nějaké nelegální činnosti, ale zajímá mě, jestli je toto vůbec možné:

Nedávno jsem narazila na jednu podvodnou stránku. Zloděj na ni poslal odkaz do zpráv hráčům jisté hry. Poté, co na něj klikli, se dostali na stránku podobnou facebooku (phishing), ale přestože žádné heslo nezadali, účet na oné hře (ne facebookový účet) jim byl vykraden.

Chtěla jsem se zeptat, jestli je to vůbec možné, že by za to všechno mohla tato jedna stránka, že by získala heslo uložené v prohlížeči, nebo jak...? A nebo je to jenom fáma a okradení hráči byli opravdu tak hloupí, že měli stejné heslo jako na fb a opravdu ho tam zadali... Bohužel (naštěstí), stránka je již zrušená.
Keeehi
Profil
Kahlan:
Útoků je velká spousta. Z toho popisu to ale vypadá, že nešlo o ukradení hesla v jeho textové podobě. Záleží na zabezpečení té hry, ale z toho popisu se mi zdá, že by mohlo jít o CSRF (pokud není proti tomu webová strána zabezpečena, umožňuje to útočníkovi posílat požadavky s identitou přihlášeného uživatele) a nebo o kradení session (prohlížeč se servru identifikuje určitým řetězcem, pokud se mi ho povede ukrást a vložit do svého prohlížeče, server si bude myslet že jsem ten uživatel, kterému jsem to ukradl). Nepsala jsi, zda tam na něco klikali nebo ne. Pokud ano, mohlo jít třeba o Clickjacking (něco jako CSRF ale tady jeho obrana nemusí pomoct). No a nebo mohlo jít o něco úplně jiného. Možností je opravdu spousta.

Co mají tyto útoky společného je to, že se nesnaží ukrást uživaeli jeho heslo, ale jeho identitu (to jak se unikátně hlásí prohlížeč servru) nebo ho nutí posílat na servr http požadavky s jeho identitou.
Kahlan
Profil
Děkuji za odpověď, takže heslo samotné vlastně nekrade... Pročtu si, co to vůbec je zač (CSRF a session, clickjacking to není), a jestli budu mít další otázky, tak ještě napíšu :)

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: