Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Core » Software » Microsoft van plan usernamemisbruik in te dammen

Microsoft van plan usernamemisbruik in te dammen

Door Remy Bergsma, donderdag 29 januari 2004 09:27
Bron: Netcraft, submitter: SithWarrior, views: 16.629

Microsoft gaat de mogelijkheid om het @-symbool te gebruiken in url's uit Internet Explorer halen, zo schrijft Netcraft. Tweakers.net berichtte hier al eerder over in december dat het mogelijk was voor spammers en hackers om mensen naar een vervalste url te lokken door in het eerste deel een bekende naam te zetten. Een voorbeeld daarvan zou http://www.google.com@213.239.154.35 zijn. In voorgaande link staat weliswaar google.com maar door het ip-adres erachter komt men bij Tweakers.net terecht. Deze mogelijkheid wordt vooral misbruikt door fraudeurs die klanten van banken naar een vervalste url willen lokken om daar op die manier accountgegevens van nietsvermoedende gebruikers te stelen.

Internet Explorer-logoDe originele bedoeling van het @-symbool in url's was om gebruikersnamen op een bepaalde site aan te geven, zoals http://sir.tim.berners-lee@www.w3.org. Deze manier van aanmelden bij websites wordt echter zeer weinig gebruikt, op dit moment zelfs nagenoeg alleen door bovengenoemde fraudeurs. Door middel van een update voor Internet Explorer wil Microsoft deze bug nu oplossen: met de update zorgt het gebruik van een @ in de url-balk voor een "invalid syntax error" melding. Een iets andere vorm van internetfraude werd eerder al op Tweakers.net gemeld: toen ging het om vervalste e-mails die van de Postbank zouden komen waarmee gebruikers naar een vervalste Postbank-url werden gestuurd om daar hun accountgegevens prijs te geven.

Volgende 10:40 3Com komt met nieuwe enterprise switch
Vorige 09:01 DPC laat met stampede DC-wereld versteld staan
Advertentie

Categorieën

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 85 reacties zichtbaar850 Off-topic / Irrelevant: 83 reacties zichtbaar83+1 On-topic: 65 reacties zichtbaar65+2 Informatief: 23 reacties zichtbaar23+3 Spotlight: 4 reacties zichtbaar4
«  1  2  3  »

Door bbr, donderdag 29 januari 2004 09:30

Score: 2
hoe log je dan in op ftp urls?
jansmit:password@ftp.google.nl ?

Tjah, login scherm blijft wel komen, maar dan haal je een beetje het nut van de directe url weg....


De @ uit ftp adressen halen is zoiets als Nummers uit email adressen halen... je raakt een hoop spammers. maar ook een aantal andere mensen.

Door MandersOnline, donderdag 29 januari 2004 09:32

Score: 2
Die functie ben je dan kwijt, dus zul je de gegevens los moeten invoeren. Je logt dan annoniem in en met de rechtermuisknop kan je kiesen om aan te melden als. Of je gebruikt een FTP programma

Door bbr, donderdag 29 januari 2004 09:35

Score: 2
*kuch*

was altijd lekker makkelijk om gewoon een lijst van 100 files direct te linken naar een secure ftp.. als je dan nu voor ieder van die 100 files ff moet inloggen.... lekker dan...

Door JeroenB, donderdag 29 januari 2004 09:40

Score: 2
IE support nog steeds sessies, dus als je gewoon ff naar de ftp-dir surft en inlogt, kun je ze daarna stuk voor stuk aanklikken zonder steeds in te hoeven loggen.

Sowieso zijn de verschillende downloadtools veel beter geschikt voor dat soort acties (aangezien IE ook vaag omgaat met resumes :))

Door TeeDee, donderdag 29 januari 2004 10:46

Score: 1
*kuch*

Dat is juist de bedoeling van FXP: non - secure ftp servers :+

Door MacD, donderdag 29 januari 2004 17:44

Score: 2
*uhge-uhge* maar ik kon je wel een mailtje sturen, ge-pgp'd danwel te verstaan, met een linkje erin dat je kon copy/pasten...nu kan dat niet meer.
Dus ipv dat MS hun bug fix'd, halen ze gewoon functionaliteit weg.

Door oegaoega, vrijdag 30 januari 2004 16:04

Score: 1
*kuch*..
jullie lijken wel een stelletje kippen wel..(een oost aziatische dan wel!)

Door Q-collective, donderdag 29 januari 2004 09:34

Score: 2
Door een andere browser te gebruiken ;)

Maar zonder dollen, er zijn zat andere manieren om te ftp'en, het zij via een gespecialiseerd ftp proggie hetzij via een alternatieve browser.

De wereld vergaat niet hoor :)

Door bbr, donderdag 29 januari 2004 09:37

Score: 0
tjah, Mozilla blijft een mooi proggie ^^
Jammer dat de stabiliteit nog op het zelfde nivo zit als IE.

Safari is nog verre van 100% functioneel.. en opera heb ik nog nieteens geprobeert..

Door Robin.v, donderdag 29 januari 2004 09:49

Score: 0
Bij mij ligt de stabiliteit van Firebird hoger dan die van IE. Na een half uurtje surfen wordt IE ongelooflijk traag ofwel loopt hij vast.
Bij Firebird nog nooit één vastloper gehad (noch in Win2k, nog in MDK9.2).

Door veldmuis, donderdag 29 januari 2004 09:49

Score: 1
Waarom zou je Mozilla instabieler willen hebben dan? ;).

Ok, flauw. Maar ik gebruik al zeker een jaar mozilla, sinds een half jaar Firebird, en de crashes worden steeds minder. Eigelijk zelfs geen meer. Een jaar geleden was het nog 2x per dag oid dat-ie crashte, maar het is nu zeker al weken geleden. 't programma'tje wordt echt harstikke goed doorontwikkeld :).

Door it0, donderdag 29 januari 2004 09:58

Score: 0
tjah, Mozilla blijft een mooi proggie ^^
Jammer dat de stabilitiet nog op het zelfde nivo zit als IE.

Wat een troll zeg, sinds moz1.0 of firebird heb ik geen crashes gezien, nightly's tellen niet mee.

IE is veel makkelijker down te krijgen...

Door bbr, donderdag 29 januari 2004 13:27

Score: 2
meer gebruiken, als IE crashed, start je em gewoon opnieuw, no problem.

als ik Mozilla crash, dan kan ik mn computer opnieuw starten.

Door Q-collective, donderdag 29 januari 2004 14:17

Score: 1
@ bbr
Ok, pardon, moet ik toch even op reageren.
Wat een lariekoek namelijk, andersom is eerder het geval omdat IE een volledig geintergreerd deel van Windows is en daardoor een onderste kaart een kaartenhuis.

Mozilla is gewoon een losse applicatie en kan als zodanig niet (vlug) windows laten crashen (ik hou zoals je ziet een slag om de arm... met windows weet je het namelijk nooit).

Pure onzin dus en ik zou je flaimen als iuk niet al gereageerd zou hebben.
(nou is mijn reactie natuurlijk ook een flamebait maar onzin moet toch maar even gecorrigeerd worden ;) )

Door eamelink, donderdag 29 januari 2004 16:19

Score: 1
Toch heeft hij wel gelijk, ik heb ook wel eens dat een IE windowtje hangt, maar die kan je killen, en meteen weer een nieuwe opstarten.

_Als_ mozilla hangt, dan heb ik soms moeite om die computersessie nog een mozilla op de been te krijgen :)

Maar het gebeurt mij eigenlijk vrijwel nooit dat 1 van deze browsers crasht...

Door Olaf van der Spek, donderdag 29 januari 2004 09:36

Score: 1
Misschien dat de restrictie alleen geldt voor http en https URLs.
Of voor alle URLs behalve ftp.

Door ferdivaneeten, donderdag 29 januari 2004 10:18

Score: 2
Het geldt inderdaad alleen voor het http en https protocol.
Microsoft stelt voor om hiervoor in de plaats cookies te gaan gebruiken :(

Door mae-t.net, donderdag 29 januari 2004 14:10

Score: 0
Laat ik, en met mij toch wel veel anderen, nu net een loginnaam met wachtwoord aan een http pagina gehangen hebben... Way to go Microsoft! |:( :(

Door kwentje, donderdag 29 januari 2004 09:46

Score: 1
ik denk dat Microsoft ook wel zo slim is om het een beetje slimmer te programmeren, zodat het nog wel mogelijk is met ftp URL's of met een gebruikers naam met een : tussen gebruikers naam en wachtwoord.
Ooit een DNS naam gezien met een : erin?

Door mjtdevries, vrijdag 30 januari 2004 13:58

Score: 1
Dit is geen kwestie van slimmer programmeren.

Dit is doodgewoon een normale feature die misbruikt wordt. De enige oplossing is het verwijderen van de feature. Met slimmer programmeren kan je dit niet oplossen.

Door Akhorahil, maandag 2 februari 2004 17:12

Score: 1
onzin.

Het probleem zit em niet in de ik@mijnsite.nl maar in de %00 en %01 in de string. Die worden niet goed verwerkt bij het parsen (op 2 verschillende manieren namelijk, bij het weergeven als string-einde, bij het gebruiks als url wordt ie weggefilterd als ongeldig character).

En als het niet kan, waarom kan het dan in mozilla/opera/etc. wel?

Door ToAoM, donderdag 29 januari 2004 10:54

Score: 1
Als je de Advisory van Microsoft mag geloven heb je de volgende opties:
* Gebruik geen gebruikersnaam:wachtwoord@ meer in urls op je website
* Meldt je gebruikers dat ze geen gebruikersnaam:wachtwoord@ moeten gebruiken op je website

Dat hebben ze namelijk volgens MS helemaal niet nodig, want je kan ook het save password feature van Microsoft gebruiken...

Beetje jammer...
http://support.microsoft.com/default.aspx?scid=kb;%5bLN%5d;834489

Door Sybesma, donderdag 29 januari 2004 09:32

Score: 2
Helemaal het @ als optie weg halen is wel kort door de bocht.

Op diverse sites word er gebruik gemaakt van dit soort links om naar een ftp site te gaan waar een wachtwoord op zit.

Had de oplossing niet iets 'slimmer' gemaakt kunnen worden?
edit:
Dubbelpost is logisch mensen...Deze reactie werd getypt toen er nog geen enkele reactie stond.....

Door Goof2000, donderdag 29 januari 2004 09:44

Score: 0
Misschien hadden deze mensen iets beter rekening moeten houden dat IE geen ftp programma is. :z

Door ATS, donderdag 29 januari 2004 10:00

Score: 1
Dat heeft er niets mee te maken: als Microsoft het FTP protocol niet meer wil ondersteunen in IE, prima. Dat wil nog niet zeggen dat je zo'n URL niet meer kan gebruiken met een andere client.

Ik vind het onmogelijk maken van de @ een nogal domme 'oplossing' eigenlijk. Waarom repareren ze niet gewoon de bug dat je het stuk achter het @ teken niet ziet? Daar zit het probleem.

Door jurriaan, donderdag 29 januari 2004 17:23

Score: 1
Waarom repareren ze niet gewoon de bug dat je het stuk achter het @ teken niet ziet? Daar zit het probleem
in het voorbeeld http://www.google.com@213.239.154.35 zou dat betekenen dat je 213.239.154.35 gewoon weglaat...... ik denk dat je andersom bedoelt, het stuk voor de @

Door Bugu, donderdag 29 januari 2004 14:46

Score: 3
Op het eerste gezicht lijkt het inderdaad kort door de bocht. Maar het probleem is dat de adressen op het Internet niet altijd "makkelijk" hoeven te zijn voor mensen, zoals met de DNS namen. IPv4 dotted quads, of zelfs gewoon bitstrings zijn ook toegestaan. De gewone gebruiker zal nooit snappen wat die cijfertjes voorstellen.
Aangezien je verder niet de beperking kan opleggen dat een username geen punten mag bevatten, of niet mag lijken op een URL, blijft er niets anders over dan de hele mogelijkheid er maar uit te slopen.
Er is hier dan ook geen sprake van een bug, maar een feature die, helaas, bijna alleen maar tot misbruik leidt. Tja, eigenlijk zouden al die domme mensen die het niet zien natuurlijk van het Internet geschopt moeten worden, maar dat is weer wat draconisch. Dit is dus gezien de omstandigheden een goede oplossing...

Verder is het ook niet zo dat alleen IE "last" heeft van dit gedrag, Mozilla (en ik neem aan dus ook andere browsers) reageert namelijk exact hetzelfde.

/Edit:
on second thought, er is eigenlijk wel een andere oplossing, maar of die wél acceptabel is... Alles voor een @ wordt gescand en er wordt een threat level aan toegekend. Als het lijkt op een gespoofde URL, zoals http://www.google.com@213.239.154.35, dan krijgt de gebruiker een pop-up "Weet je het zeker". Het probleem van de domme mens blijft echter bestaan, want hier zal men gewoon doorklikken "Natuurlijk wil ik naar Google!".... |:(

Door jvdmeer, donderdag 29 januari 2004 22:38

Score: 1
Makkelijkere oplossing zou zijn dat http://www.google.com@213.239.154.35
alleen maar werkt als http://213.239.154.35 bij de vertrouwde websites staat.

Makkelijke oplossing...

Door mjtdevries, vrijdag 30 januari 2004 14:01

Score: 1
En dan moet MS een lijst gaan maken van vertrouwde websites?

Moet je dan eens de reacties hier horen: "MS wil gaan bepalen welke websites betrouwbaar zijn", "MS pleegt censuur" MS dit, MS dat. Iedereen zou weer zitten te klagen hoe slecht MS wel niet is.

Geen makkelijke oplossing dus.

Door Akhorahil, maandag 2 februari 2004 17:18

Score: 0
nee, niet de door MS vertrouwde sites, de lijst "trusted sites" in je internet options, die kan je zelf instellen }:O

Niet alles is een poging tot een MS flame te komen hoor :Z

Door Akhorahil, maandag 2 februari 2004 17:17

Score: 1
nogmaals, het probleem zit em niet in de @ maar in de %00. DAAR moet wat aan gedaan worden. Dat een gebruiker niet snapt dat http://akhorahil.ownz@tweakers.net een adres wat wijst naar tweakers.net voorstelt is ZIJN probleem. Dan kunnen we beschrijvingen in links ook wel afschaffen : zo van
Ga hier naar de site van Apple <img src=g/s/wink.gif width=15 height= 15>

Door Croga, donderdag 29 januari 2004 09:32

Score: 0
Das allemaal heel leuk maar........

@ in URLs wordt ook vaak gebruikt om, bijvoorbeeld, in te loggen op FTP sites..... Als je IE gebruikt gaat dat in het vervolg dus gepaard met een syntax error? Lijkt me heel erg lastig worden dan.....

Door Zarc.oh, donderdag 29 januari 2004 09:40

Score: 1
Het lijkt me zinniger om een waarschuwing en een Continue? Yes/No te weer te geven als een username een Fully Qualified Domainname bevat en anders niet. Moet niet moeilijk zijn om dat te implenteren.

Door iw@n, donderdag 29 januari 2004 09:39

Score: 0
Geinig dat het uit ie verdwijnt maar in andere browsers werkt het nog wel. Heb het net bij opera geprobeert.

Waarschijnlijk is het beter om er een optie van te maken. Na de installatie staat het uit en je kunt het aanzetten.

Door balk, donderdag 29 januari 2004 10:02

Score: 1
of gewoon zo implementeren dat je alles voor de @ ook blijft zien, zoals in elke andere browser.

Door Coffeemonster, donderdag 29 januari 2004 09:48

Score: 3
Waarom laten ze niet gewoon een waarschuwing zien dat de URL verwijst naar een andere server dan wat je zou verwachten? Opera heeft dat al ingebouwd, dus waarom kan dat niet in Internet Explorer?

Door Andry834, donderdag 29 januari 2004 18:20

Score: 2
omdat meer als de helft het niet snapt en gewoon op "ok" klikt :p

Door PeTAR, donderdag 29 januari 2004 09:51

Score: 0
Euhm... maar als ik ook maar 1 van die links aan klik, dan werkt het al niet meer. Dus volgens mij is het een keer met een laatste update geinstalleerd.

Door zeikhoff, donderdag 29 januari 2004 09:57

Score: 2
Typisch weer Microsoft, om in het kader van 'wij zijn zo vriendelijk voor de consument' de baby met het badwater weg te gooien...

Hoewel ik normaal voorstander ben problemen op te laten lossen i.p.v. weg te moffelen lijkt me dit toch meer iets voor de MS afdeling marketing: laat IE gewoon z'n werk doen en timmer MSN explorer helemaal dicht zodat dat foolproof wordt...
Hebben ze nog een kans dat er eindelijk eens iemand MSN explorer gaat gebruiken...
Ze je in de 'home' ed van longhorn MSN standaard 'aan' en in de 'prof' IE.
Of ben ik dan te simpel??

Door El_Muerte_[TDS]541, donderdag 29 januari 2004 10:05

Score: 0
Stelletje prutsers, kunnen ze niet gewoon de bug fixen in plaats van er om heen werken.

Door mjtdevries, vrijdag 30 januari 2004 14:02

Score: 1
Wat is dan volgens jou de "bug"?

Het is namelijk een feature die keurig doet wat ie hoort te doen. Alleen is dat dus te misbruiken.

Door Akhorahil, maandag 2 februari 2004 17:22

Score: 1
de 'bug' is dat alles achter %00 wel wordt meegenomen voor het adres waar de link heenwijst maar niet wordt weergegeven in je adresbalk.

oftewel : als ik op www.google.nl%00@www.tweakers.net zit wil ik ook in de adresbalk zien dat ik op www.tweakers.net zit, en daar niet alleen www.google.nl lezen.

Door steit, donderdag 29 januari 2004 10:08

Score: 2
Ja handig, laten we dan daarna de '.' uit de URL's verbannen je kan nl ook nog:

http://www.google.com.tweakers.net gaan gebruiken !
«  1  2  3  »

Op dit item kan niet meer gereageerd worden.

Volgende 10:40 3Com komt met nieuwe enterprise switch
Vorige 09:01 DPC laat met stampede DC-wereld versteld staan
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011