Autor Zpráva
RastyAmateur
Profil
Zdravíčko,

zrovna jsme měli hodinu angličtiny, kdy jsme se bavili o kyberkriminalitě a naše učitelka mě navedla na jednu myšlenku - dají se nějak zjistit cookies z jiných stránek?

Na jednu stranu si říkám, že když si je člověk může najít a zobrazit přímo v počítači/prohlížeči, proč by je nemohl najít i nějaký script. Na druhou stranu mi to přijde nereálné. Musí to být přeci nějak zabezpečené!

Děkuji, RA


Opět raději zahajuji diskuzi, než abych hledal...

Kdyby chtěl někdo něco dodat, sem s tím!
Martin2
Profil *
RastyAmateur:
Opět raději zahajuji diskuzi, než abych hledal...
Proč? Tady není o čem diskutovat.

když si je člověk může najít a zobrazit přímo v počítači/prohlížeči, proč by je nemohl najít i nějaký script
Pokud tím skriptem myslíš malware, který je schopen z disku přečíst data prohlížeče, tak samozřejmě.
RastyAmateur
Profil
Martin2:
Myslím příspěvek, vlákno...
Tím jsi mi připomněl také jednu část naší hodiny. Jak je možné, že se otevřením emailu stáhne do PC nějaký virus?
Joker
Profil
RastyAmateur:
Zabezpečené je to tím, že je to navázané na doménu.

když si je člověk může najít a zobrazit přímo v počítači/prohlížeči, proč by je nemohl najít i nějaký script
Teoreticky ano, program běžící přímo v tom počítači, který by dokázal zjistit umístění souborů s cookies a měl práva k jejich čtení, by to samozřejmě dokázal.
Ale např. JavaScript nesplní ani jedno z toho.

Cookies z jiných stránek se dají zjistit jen hodně těžko přes nějakou bezpečnostní díru.
Častější je situace, kdy útočník nějakým způsobem přiměje oběť, aby sama odeslala na cílový web útočníkem sestavený požadavek. Tomu se říká cross-site request forgery neboli CSRF (XSRF).

Jak je možné, že se otevřením emailu stáhne do PC nějaký virus?
Asi nejprimitivnější způsob je soubor s virem pojmenovat třeba obrazek.jpg.exe, dát ho k mailu jako přílohu a doufat, že to projde přes antivir a že uživatel tu přílohu spustí.
RastyAmateur
Profil
Joker:
Děkuji!

Častější je situace, kdy útočník nějakým způsobem přiměje oběť, aby sama odeslala na cílový web útočníkem sestavený požadavek.
A to by se dokázalo pouze v případě, že by se spustil nějaký program přímo v počítači oběti?


Joker:
..., že to projde přes antivir a že uživatel tu přílohu spustí.
Takže pouhým otevřením nelze? Musel bych něco stáhnout?
Joker
Profil
RastyAmateur:
A to by se dokázalo pouze v případě, že by se spustil nějaký program přímo v počítači oběti?
Ne, při CSRF obvykle stačí, aby oběť otevřela stránku obsahující útočníkův kód, pokud proti tomu není cílový web chráněný.

Ale oproti předmětu vlákna je to jiná situace.
Původní dotaz se týkal získání nějakých informací (tj. oběť má v cookies uložené nějaké informace a útočník je chce znát).
CSRF neslouží k získání informací (i když v určitých specifických situacích by i to asi šlo), ale k tomu, že oběť nevědomky autorizuje nějakou akci svým jménem.
Keeehi
Profil
RastyAmateur:
Pro získání cookie je potřeba aby web trpěl na XSS a ještě k tomu nesmí být daná cookie nastavená jako httpOnly.
Amunak
Profil
Lehce offtopic Malware okénko...

RastyAmateur:
Takže pouhým otevřením nelze? Musel bych něco stáhnout?
Pouhé otevření samozřejmě znamená, že soubor nejprve stáhneš. Pokud nepoužíváš k prohlížení příloh mailu nějakou webovou službu, vždy musíš soubor nejprve stáhnout, aby si s ním mohl dál pracovat. To je ale samo o sobě neškodné protože i malware je relativně neškodný, dokud se přímo nespustí nebo neotevře nějakým programem.

To je totiž druhý docela typický vektor útoku - útočník využije chyby v softwaru (operačním systému, sadě pro vytváření dokumentů jako je Microsoft Office, Flashi, Javě nebo něčem podobném) a přes tuto chybu napadne útočníkův systém, když uživatel otevře nakažený soubor. Ten může přitom být třeba i docela normální Word dokument. Často se využívá faktu, že uživatelé neaktualizují svůj software, a jsou tak vystaveni dávno opraveným, známým chybám.

Spolu se sociálním inženýrstvím ve stylu „čekáme na zaplacení pohledávky, ...“ se může jednat o docela efektivní nástroj, jak uživatele dostat do stresující situace kdy je méně obezřetný, donutit ho otevřít přílohu a nakazit jeho počítač.

Naštěstí vývoj takového malware, objevování chyb apod. není úplně primitivní, a počítačová gramotnost se (snad?) postupně zlepšuje, software patchuje a s dostatečnou obezřetností při otevírání pochybných mailů a navštěvování podivných webů se dá malwaru velmi dobře vyhýbat i bez dedikovaných "antivirů" a podobných nástrojů, které v posledních letech ztrácí na účinnosti.
RastyAmateur
Profil
Amunak:
Pouhé otevření samozřejmě znamená, že soubor nejprve stáhneš.
Tím pouhým otevřením myslím samotný email. Když se na seznamu, googlu, centrumu, prostě v každé emailové schránce otevřu nepřečtený email, abych si mohl přečíst text. Každopádně děkuji za reakci!

Joker:
Děkuji. Nedá se říci, že bych tomu úplně rozuměl, ale rozhodně mi to pomohlo!

Keeehi:
Tvůj komentář mě přiměl se znovu podívat na funkci setcookie().
bool setcookie ( string $name [, string $value = "" [, int $expire = 0 [, string $path = "" [, string $domain = "" [, bool $secure = false [, bool $httponly = false ]]]]]] )
Do teďka jsem to nijak neřešil, ale nyní mě to tak nějak napadlo. Co přesně znamená $domain? Mohu nastavit cookies pro úplně jiné stránky, nebo co? A ještě mě zajímá $path. Je to cesta - to vím. Má to vliv pouze na místo uložení té cookies, nebo i na nějakou práci s ní?
Keeehi
Profil
RastyAmateur:
Co přesně znamená $domain? Mohu nastavit cookies pro úplně jiné stránky, nebo co?
Samozřejmě že ne. Kdyby to šlo, bylo by to krásně možné využít pro útoky typu Session fixation.
Používá se to pro určení platnosti cookie pro subdoménu.
Příklad: Pokud se domain nastaví na www.example.com, bude se taková cookie odesílat jen na www.example.com ale už ne na static.example.com.

A ještě mě zajímá $path.
Je to velmi podobný případ jako domain. Jen se tím neurčuje co má být v doméně ale co má být za ní.
www.example.com/nejaka/adresarova/cesta
RastyAmateur
Profil
Keeehi:
Vyčerpávající odpověď (y) Díky :)

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: