Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Core » Software » Vervalste url's mogelijk met Internet Explorer

Vervalste url's mogelijk met Internet Explorer

Door Steve Lersberghe, woensdag 10 december 2003 18:37
Bron: Heise, submitter: T.T., views: 8.623

Onze oosterburen van Heise melden dat er een nieuwe fout in Internet Explorer ontdekt is. Spammers en virusschrijvers 'lokken' vaak gebruikers naar een site door in het eerste deel van de url een bekend adres te plaatsen, bijvoorbeeld www.google.com@213.239.154.35. De gebruiker herkent (het eerste deel van) de url en klikt nietsvermoedend op de link, waarna hij of zij op een andere site dan de verwachte terechtkomt. In het geval van het voorbeeld is dat Tweakers.net. De oorzaak hiervan is dat het gedeelte voor de @ herkend wordt als een gebruikersnaam op de site die erna vermeld wordt.

Internet Explorer iconDat was al langer bekend en het kan ook niet echt als een fout beschouwd worden. De bug in Internet Explorer houdt echter in dat het laatste deel, de echte url dus, niét weergegeven wordt in de adrebalk wanneer het tekentje 0x01 () er in voorkomt, zoals in dit geval. Dit stelt personen met minder goede bedoelingen in staat om een valse versie van bijvoorbeeld Hotmail te creëren, terwijl de gebruiker in de adresbalk de gewone url ziet staan en nietsvermoedend zijn paswoord invoert en verzendt.

Alle versies van IE 6 en ook bepaalde versies van IE 5 hebben hier last van, ook wanneer de beveiligingsinstellingen op het hoogste niveau ingesteld zijn. Microsoft brengt deze maand normaal gezien geen Security Updates meer uit, het is nu afwachten of de softwarereus ten gevolge van deze en een aantal andere recent onthulde problemen terug komt op dat besluit door een 'Emergency'-patch uit te brengen.

Volgende 18:56 Zes microATX kasten getest door Tom's Hardware
Vorige 16:28 'Prijs internetten voor consument belangrijker dan snelheid'
Advertentie

Categorieën

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 88 reacties zichtbaar880 Off-topic / Irrelevant: 83 reacties zichtbaar83+1 On-topic: 49 reacties zichtbaar49+2 Informatief: 20 reacties zichtbaar20+3 Spotlight: 3 reacties zichtbaar3
«  1  2  3  4  »

Door amphora, woensdag 10 december 2003 18:40

Score: 0
Ik zie het probleem niet helemaal... Ook bij de url waar geen 0x01 instaat zie ik de gebruikersnaam niet in het scherm blijven staan. En dit is geen lek vind ik. Stel ik heb echt een site waar je kan inloggen met gebruikersnaam www.huppelepup.nl. Gaan ze dat dan binnenkort stoppen ofzo?

Door flipm0, woensdag 10 december 2003 19:14

Score: 1
Dat de gebruikersnaam niet blijft staan is vrij normaal. In het voorbeeld uit het artikel, blijft juist de echte URL (213.239.154.35) niet staan, maar alleen de gebruikersnaam (http://www.google.com). Hierdoor lijkt voor de gebruiker het goede adres in de addressbar te staan, maar staat er een andere site bij.

Door Spider.007, woensdag 10 december 2003 18:41

Score: 2
Wat zou nou toch de reden kunnen zijn dat hij precies op '0x01' reageert :?

Door nihitsia, woensdag 10 december 2003 19:35

Score: 0
Wat is ' 0x01' vraag ik me al af.

Door code4u779, woensdag 10 december 2003 21:00

Score: 2
0x01 is gewoon ASCII waarde 1. (zie http://www.asciitable.com voor details)

Door sjaakduhuuhl, woensdag 10 december 2003 22:21

Score: 0
0x01 is een New Line begreep ik.

(Oh nee, dat is 0x0A zie ik net.)

Door Zware Unit, woensdag 10 december 2003 18:42

Score: 2
Opera geeft zoals gewoonlijk een waarschuwing (niet dat er in opera geen security fouten zitten ;))

Door plexon, woensdag 10 december 2003 21:22

Score: 2
Opera geeft inderdaad de EERSTE keer een melding maar voor de eenvoudige gebruiker is het dan niet direct duidelijk dat er iets mis is.

Als ik het vervolgens nog een keer probeer wordt er GEEN melding gegeven!! Kan aan mijn instellingen liggen maar die zijn voor zover ik weet nog steeds de defaults.

Explorer gaf bij mij geen enkele keer een melding terwijl ik toevallig net de allerlaatste (security) patches van Microsoft had gedownload.

Door ]eep, donderdag 11 december 2003 01:01

Score: 2
NEE, dat is NIET waar. Opera waarschuwd me bij de eerste link 1x en bij de 2e link ook 1x. Bij elke link waar dit geintje uitgehaald wordt waarschuwd Opera dus.

Je mag er toch wel van uitgaan dat als je ja klikt je ook ja bedoelt. Toch? 1x waarschuwen is dan genoeg.

Bij een MS product zou er bij staan: dit in het vervolg niet meer weergeven met het vakje alvast aangevinkt. Alleen IE meldt dushelemaal niks.
offtopic:
ik weet nog de vorige x dat er gemeld werd dat er een lek in Opera zat ivm skins. Nou, poe, wat was Opera toch onveilig. Sindsdien is dit de 2e of 3e x dat er in IE weer een lek ondekt wordt. (terwijl Opera 7 veel nieuwer is).

Door buzzin, donderdag 11 december 2003 14:34

Score: 1
Opera gaat bij de tweede link ook gewoon naar google zelf toe en niet naar tweakers :)

Door b19a, vrijdag 12 december 2003 00:40

Score: 0
mijn Opera dus niet :P

(reactie op buzzin)

Door pietje63, woensdag 10 december 2003 18:42

Score: 0
Het kan aan mij liggen maar ik zie niet in wat hier nou zo gevaarlijk aan is??

De eerste is gewoon een feature, het met ene link mee kunnen sturen van paswoord en login, en het tweede het in bepaalde gevallen niet tonen van de gebruikersnaam, DUS?

Aangezien www.google.com0x01@213.239.154.35 gewoon tweakers.net in mijn adresbalk geeft kan het volgens mij weinig kwaat, gaf het google.com in mijn adresbalk dan had ik het erger gevonden..

[edit]
Zoals de link nu (na wijziging) in het artikel staat komt er wel www.google.com in de adresbalk te staan wat het wel een bug maakt.
Je denkt dat je op www.hotmail.com zit maar je zit op www.hacker.nu die zo je paswoord opvangt en je hotmail paswoord is vaak nog wel te overleven, maar het kan dus ook een zakelijk iets zijn oid.

[edit2]
Als je de link goed bekijkt http://www.google.com@213.239.154.35/ dan zie je dat er hier een vierkant komt achter.com als je deze weglaat dan gaat het wel goed.

Door twiekert, woensdag 10 december 2003 19:01

Score: 1
dat is nu precies de BUG!

klik hier maar eens op:
www.google.com@www.tweakers.net/

Door zwabber, woensdag 10 december 2003 19:02

Score: 0
Het tweede linkje in het artikel geeft de pagina van tweakers.net, maar in de (mijn) adresbalk staat www.google.com. Dat vind ik dus geen feature meer.

edit: sneller typen :(

Door Frash, woensdag 10 december 2003 19:04

Score: 2
Helemaals mee eens maar ook de volgende dingen waar niemand bij stil staat vormen een groot risico:
Redirectors bijv.
http://rd.yahoo.com/betrouwbaresite/*http://www.tweakers.net
Dan is het kwaad al geschiet als de gebruiker zo'n soort link bezoekt, al blijft hij het niet verbergen.
Om het dan maar niet te hebben over Flash scriptjes die gewoon een volwaardige vorm van javascript toestaan en op fora gebruikt kan worden.
(Dubdub is een leuk voorbeeld voor Javascript integratie in Flash)
Voor de duidelijkheid kan javascript gebruikers spammen met alert windows, cookies jatten en nog veel meer ellende.

-Edit- Mee eens dat het een nare bug is.
Nu zullen er nog meer Paypal fakes komen ;(

Door boesOne, woensdag 10 december 2003 19:14

Score: 2
Dus dan maakt het allemaal geen bal meer uit ?

Tuurlijk is dit (weer een) van de bugs in IE.
Weet je wat dit betekent voor online bankieren enzo ?
Je kan je adresbalk niet meer vertrouwen..
Bij de Rabobank staat altijd zo leuk: ga alleen verder als er "https://raboetc.." in je balk staat ..
Daar heb je nu dus niks meer aan..

edit:
Helemaals mee eens maar ook de volgende dingen waar niemand bij stil staat vormen een groot risico:
Bedoel je trouwens dat je het ermee eens bent dat dit weinig kwaad kan ? Of dat je het ermee ens bent dat dit wel een nare bug is :?

Door mkessels, woensdag 10 december 2003 19:48

Score: 2
wat de rabobank eigenlijk zou moeten zeggen:
controleer het certificaat wat bij deze beveiligde site wordt meegeleverd door op het slotje te dubbelklikken. controleer of hierin https://bankieren.rabobank.nl staat en dat dit ook de site is die je bezoekt. (door in de adresbalk te kijken)

Zoals ze het nu zeggen, en deze bug in IE kan ik dus inderdaad een man-in-the-middle attack uitvoeren. idee }>

Door plexon, woensdag 10 december 2003 21:30

Score: 0
man-in-the-middle ok maar kan je er ook iets mee. De RABO heeft een kastje waar je zowel de eigen code als de codes die je van het scherm moet invoeren (diverse keren en kan verlopen). In de codes van het scherm zal heus wel een controlemechanisme zitten dat gekoppeld zit aan het kastje en op het centrale systeem een belletje doet rinkelen als er iets niet helemaal lekker gaat.

Door Jis, donderdag 11 december 2003 00:21

Score: 0
Als de man-in-the-middle daadwerkelijk tussen de gebruiker en de echte site zit is hij degene die geauthoriseerd wordt en niet de echte gebruiker. Zolang die sessie actief is, kan hij dus doen wat ie wilt. Het kastje kan hier weinig aan doen, die berekend alleen de response code. En zolang de MITM de invoer van en naar de gebruiker maar goed doorsluist tijdens het inloggen wordt hij eigenaar van de sessie.
Mogelijk zitten er wel nog verdere checks in client side software die het onmogelijk maken...
Ik vraag me trouwens wel af of het SSL certificaat dit gaat accepteren.

Door Cochrane, donderdag 11 december 2003 09:03

Score: 0
Valt wel een beetje mee hé ;)
Iemand die wil internetbankieren typt óf gewoon de URL in, óf haalt 'm uit z'n favorieten.

Zolang hij maar geen link vanaf een andere pagina gebruikt..

Door DenDave, donderdag 11 december 2003 13:43

Score: 1
Maar er zijn voorvallen geweest in VS waar mensen van een bank zgn. mailtje kregen met een berichtje van gelieve je account wegens technische redenen te confimeren en klick en passwoord en cifjercomputertje verder werd meteen door zo'n truc geld over gemaakt...

cfr:

http://slashdot.org/articles/03/11/14/2324223.shtml?tid=126&tid=172

Door Sybesma, donderdag 11 december 2003 21:54

Score: 1
Ik heb het getest en volgens mij werkt de bug niet met https...

Door kickbill, woensdag 10 december 2003 18:45

Score: 2
Bij Mozilla (waarvan vandaag een nieuwe beta is uitgebracht) wordt het als een bug gezien dat de browser niet waarschuwd dat je linkt met een uid+password. Bij de 1.6 release is dit opgelost.

Alleen ik ben benieuwd of het een programmeerfout is dat url met 0x01 er in niet worden weergeven of is het een bewust ontwerp zodat Microsoft gegevens kan verbergen in je browser. IE houd meer informatie verborgen. Zelfs een lijst met alle URLs en data wanneer je ze hebt bezocht. Ik zoek even de link hiervan..<link>http://seclists.org/isn/2001/Oct/0226.html</link>

Door Emiel, woensdag 10 december 2003 18:58

Score: 2
Er is was iets krom in dit verhaal inderdaad :) Na het lezen van de bron werd het mij echter wat duidelijker:

http://www.heise.de/security/dienste/browsercheck/demos/ie/e5_18.shtml
edit:
Nieuwspost stiekem aangepast :O

Door Steve, woensdag 10 december 2003 18:59

Score: 0
De nieuwspost is intussen aangepast, excuses voor het misverstand.

Door aspfreakout, woensdag 10 december 2003 19:04

Score: 2
Euuh tja, mm 'de grote spamtruuk'...
Hoeveel sites hebben wel geen url's als deze om een pagina vanop een andere site te openene in een frame:
http://blabla.com/redirect?http://eensite.com

Waarbij blabla.com dan een goede site lijkt (als google) en http://eensite.com dan een spamsite kan zijn die zich uit het frame werkt met een scriptje...

Lijkt mij nu niet bepaald een bug...
't is veel gevaarlijker om url's als deze te volgen:
http://hiermoeteengecodeerdipstaan/?www.degoeiesite.com
met een simpel progje als webserver te laten op dat ip kan men zo makkelijk alle gegevens (ip,... van de van geen kwaad bewuste surfer) achterhalen.

EDIT: ik had dus blijkbaar al gereageerd voor de edit...
het is dus wel echt een zware bug... :)

Door Emiel, woensdag 10 december 2003 19:08

Score: 3
De methode in dit nieuwsbericht is veel gevaarlijker, omdat in combinatie met de bug het voor de surfer niet zichtbaar is dat hij de foute site bezoekt (in de adresbalk staat bijvoorbeeld gewoon google.com). En zoals Jupiler hieronder aangeeft kan een IP altijd gelogged worden.
(Zelfs al vanuit een e-mailbericht: bij het ophalen van images, bijvoorbeeld
http://spambedrijfje/logo.gif?164726826, kan jouw e-mailadres aan een ip worden gekoppeld, mits je e-maillezer deze images download - outlook t/m xp)

Door jokari, woensdag 10 december 2003 19:07

Score: 0
t zal wel aan mij liggen, maar ik zie gewoon de hele url, met een spatie er in... Ligt dat nou aan mij?
Over rare links gesproken, ik krijg de laatste tijd (nu ook weer) bij Tweakers.net steeds vaker bij het bewegen over een hyperlink de verwijzing "javascript: void(null),weet iemand of dat misschien ook een bug is?

Door Emiel, woensdag 10 december 2003 19:09

Score: 1
* 786562 E-mail
«  1  2  3  4  »

Op dit item kan niet meer gereageerd worden.

Volgende 18:56 Zes microATX kasten getest door Tom's Hardware
Vorige 16:28 'Prijs internetten voor consument belangrijker dan snelheid'
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011