Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 88 reacties
Bron: Heise, submitter: T.T.

Onze oosterburen van Heise melden dat er een nieuwe fout in Internet Explorer ontdekt is. Spammers en virusschrijvers 'lokken' vaak gebruikers naar een site door in het eerste deel van de url een bekend adres te plaatsen, bijvoorbeeld www.google.com@213.239.154.35. De gebruiker herkent (het eerste deel van) de url en klikt nietsvermoedend op de link, waarna hij of zij op een andere site dan de verwachte terechtkomt. In het geval van het voorbeeld is dat Tweakers.net. De oorzaak hiervan is dat het gedeelte voor de @ herkend wordt als een gebruikersnaam op de site die erna vermeld wordt.

Internet Explorer iconDat was al langer bekend en het kan ook niet echt als een fout beschouwd worden. De bug in Internet Explorer houdt echter in dat het laatste deel, de echte url dus, nit weergegeven wordt in de adrebalk wanneer het tekentje 0x01 () er in voorkomt, zoals in dit geval. Dit stelt personen met minder goede bedoelingen in staat om een valse versie van bijvoorbeeld Hotmail te creren, terwijl de gebruiker in de adresbalk de gewone url ziet staan en nietsvermoedend zijn paswoord invoert en verzendt.

Alle versies van IE 6 en ook bepaalde versies van IE 5 hebben hier last van, ook wanneer de beveiligingsinstellingen op het hoogste niveau ingesteld zijn. Microsoft brengt deze maand normaal gezien geen Security Updates meer uit, het is nu afwachten of de softwarereus ten gevolge van deze en een aantal andere recent onthulde problemen terug komt op dat besluit door een 'Emergency'-patch uit te brengen.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (88)

Ik heb maar een kleine demo gemaakt van hoe het zou kunnen werken.

http://wim.rawkstar.net/linklist.php

Door een klik op de link kom je dus vrijwel direct op een pagina die precies op ebay.com lijkt, terwijl je eigenlijk gewoon op een url terecht komt op een andere server.

Mischien overbodig, maar dit is mischien wat duidelijker dan het artikel.
ik heb je voorbeeld ff schaamteloos gejat en het javascript aangepast zodat bij rechts klikken (ook als context menu zichtbaar is) de echte link ook niet verschijnt:

http://www.xs4all.nl/~ninazero/notebay.htm
Jouw tweede voorbeeld bevat iets te veel code ;)

Hierbij dus een slankere versie die perfect werkt... ons bedrijf had bijvoorbeeld ineens Microsoft "overgenomen", toch wel leuk om de enige webdesigner/developer in het bedrijf zijn :Y)

Anyway... in onderstaande voorbeeld heeft t.net opeens slashdot "overgenomen" ;) :

<a href="http://www.slashdot.org" onClick="window.location='http://www.slashdot.org@www.tweakers.net'; return false;">News for nerds...</a>

waarbij je slashdot.org en tweakers.net uiteraard kunt vervangen door een willekeurig ander www adres. :)

PS: sorry voor het enorme aantal spaties in de a tag... heeft t.net er blijkbaar extragratis aan toegevoegd. Maar gelukkig heeft ieder goed toetsenbord een backspace knop :Y)
Dit maakt het redelijk duidelijk, maar zit in je fake pagina er even bij dat het niet de echte is, dat wordt wel op prijsgesteld! En dat maakt nog duidelijker hoe makkelijker het te misbruiken valt!
Euuh tja, mm 'de grote spamtruuk'...
Hoeveel sites hebben wel geen url's als deze om een pagina vanop een andere site te openene in een frame:
http://blabla.com/redirect?http://eensite.com

Waarbij blabla.com dan een goede site lijkt (als google) en http://eensite.com dan een spamsite kan zijn die zich uit het frame werkt met een scriptje...

Lijkt mij nu niet bepaald een bug...
't is veel gevaarlijker om url's als deze te volgen:
http://hiermoeteengecodeerdipstaan/?www.degoeiesite.com
met een simpel progje als webserver te laten op dat ip kan men zo makkelijk alle gegevens (ip,... van de van geen kwaad bewuste surfer) achterhalen.

EDIT: ik had dus blijkbaar al gereageerd voor de edit...
het is dus wel echt een zware bug... :)
De methode in dit nieuwsbericht is veel gevaarlijker, omdat in combinatie met de bug het voor de surfer niet zichtbaar is dat hij de foute site bezoekt (in de adresbalk staat bijvoorbeeld gewoon google.com). En zoals Jupiler hieronder aangeeft kan een IP altijd gelogged worden.
(Zelfs al vanuit een e-mailbericht: bij het ophalen van images, bijvoorbeeld
http://spambedrijfje/logo.gif?164726826, kan jouw e-mailadres aan een ip worden gekoppeld, mits je e-maillezer deze images download - outlook t/m xp)
Opera geeft zoals gewoonlijk een waarschuwing (niet dat er in opera geen security fouten zitten ;))
Opera geeft inderdaad de EERSTE keer een melding maar voor de eenvoudige gebruiker is het dan niet direct duidelijk dat er iets mis is.

Als ik het vervolgens nog een keer probeer wordt er GEEN melding gegeven!! Kan aan mijn instellingen liggen maar die zijn voor zover ik weet nog steeds de defaults.

Explorer gaf bij mij geen enkele keer een melding terwijl ik toevallig net de allerlaatste (security) patches van Microsoft had gedownload.
NEE, dat is NIET waar. Opera waarschuwd me bij de eerste link 1x en bij de 2e link ook 1x. Bij elke link waar dit geintje uitgehaald wordt waarschuwd Opera dus.

Je mag er toch wel van uitgaan dat als je ja klikt je ook ja bedoelt. Toch? 1x waarschuwen is dan genoeg.

Bij een MS product zou er bij staan: dit in het vervolg niet meer weergeven met het vakje alvast aangevinkt. Alleen IE meldt dushelemaal niks.

offtopic:
ik weet nog de vorige x dat er gemeld werd dat er een lek in Opera zat ivm skins. Nou, poe, wat was Opera toch onveilig. Sindsdien is dit de 2e of 3e x dat er in IE weer een lek ondekt wordt. (terwijl Opera 7 veel nieuwer is).
Opera gaat bij de tweede link ook gewoon naar google zelf toe en niet naar tweakers :)
mijn Opera dus niet :P

(reactie op buzzin)
Wat zou nou toch de reden kunnen zijn dat hij precies op '0x01' reageert :?
Wat is ' 0x01' vraag ik me al af.
0x01 is gewoon ASCII waarde 1. (zie http://www.asciitable.com voor details)
0x01 is een New Line begreep ik.

(Oh nee, dat is 0x0A zie ik net.)
met een simpel progje als webserver te laten op dat ip kan men zo makkelijk alle gegevens (ip,... van de van geen kwaad bewuste surfer) achterhalen
Het IP wordt sowieso achterhaald wanneer je op een site surft, eender welke site. En andere gegevens (OS, browser etc) kunnen ook makkelijk achterhaald worden, maar dat zijn nog steeds geen persoonlijke gegevens.
Het zit hem er nu juist in dat het onbewust gebeurt.

Bovendien kan een bedrijf aan de hand van die gegevens bijvoorbeeld onderzoeken naar welke content werknemers van de concurrent op zoek zijn! Als je maar genoeg mensen erin laat lopen heb je eventueel per werkplek een profiel van bezochte werksites (=zodat reclame gericht kan worden verstuurd bijvoorbeeld).
Bij Mozilla (waarvan vandaag een nieuwe beta is uitgebracht) wordt het als een bug gezien dat de browser niet waarschuwd dat je linkt met een uid+password. Bij de 1.6 release is dit opgelost.

Alleen ik ben benieuwd of het een programmeerfout is dat url met 0x01 er in niet worden weergeven of is het een bewust ontwerp zodat Microsoft gegevens kan verbergen in je browser. IE houd meer informatie verborgen. Zelfs een lijst met alle URLs en data wanneer je ze hebt bezocht. Ik zoek even de link hiervan..<link>http://seclists.org/isn/2001/Oct/0226.html</link>
Er is was iets krom in dit verhaal inderdaad :) Na het lezen van de bron werd het mij echter wat duidelijker:

http://www.heise.de/security/dienste/browsercheck/demos/ie/e5_18.shtml

edit:
Nieuwspost stiekem aangepast :O
Is niet alleen in de user maar in de hele URL. Alles na 0x01 wordt weggekieperd.

Zie: http://www.tweakers.net//../nieuws/30070
Het kan aan mij liggen maar ik zie niet in wat hier nou zo gevaarlijk aan is??

De eerste is gewoon een feature, het met ene link mee kunnen sturen van paswoord en login, en het tweede het in bepaalde gevallen niet tonen van de gebruikersnaam, DUS?

Aangezien www.google.com0x01@213.239.154.35 gewoon tweakers.net in mijn adresbalk geeft kan het volgens mij weinig kwaat, gaf het google.com in mijn adresbalk dan had ik het erger gevonden..

[edit]
Zoals de link nu (na wijziging) in het artikel staat komt er wel www.google.com in de adresbalk te staan wat het wel een bug maakt.
Je denkt dat je op www.hotmail.com zit maar je zit op www.hacker.nu die zo je paswoord opvangt en je hotmail paswoord is vaak nog wel te overleven, maar het kan dus ook een zakelijk iets zijn oid.

[edit2]
Als je de link goed bekijkt http://www.google.com@213.239.154.35/ dan zie je dat er hier een vierkant komt achter.com als je deze weglaat dan gaat het wel goed.
Helemaals mee eens maar ook de volgende dingen waar niemand bij stil staat vormen een groot risico:
Redirectors bijv.
http://rd.yahoo.com/betrouwbaresite/*http://www.tweakers.net
Dan is het kwaad al geschiet als de gebruiker zo'n soort link bezoekt, al blijft hij het niet verbergen.
Om het dan maar niet te hebben over Flash scriptjes die gewoon een volwaardige vorm van javascript toestaan en op fora gebruikt kan worden.
(Dubdub is een leuk voorbeeld voor Javascript integratie in Flash)
Voor de duidelijkheid kan javascript gebruikers spammen met alert windows, cookies jatten en nog veel meer ellende.

-Edit- Mee eens dat het een nare bug is.
Nu zullen er nog meer Paypal fakes komen ;(
Dus dan maakt het allemaal geen bal meer uit ?

Tuurlijk is dit (weer een) van de bugs in IE.
Weet je wat dit betekent voor online bankieren enzo ?
Je kan je adresbalk niet meer vertrouwen..
Bij de Rabobank staat altijd zo leuk: ga alleen verder als er "https://raboetc.." in je balk staat ..
Daar heb je nu dus niks meer aan..

edit:
Helemaals mee eens maar ook de volgende dingen waar niemand bij stil staat vormen een groot risico:
Bedoel je trouwens dat je het ermee eens bent dat dit weinig kwaad kan ? Of dat je het ermee ens bent dat dit wel een nare bug is :?
wat de rabobank eigenlijk zou moeten zeggen:
controleer het certificaat wat bij deze beveiligde site wordt meegeleverd door op het slotje te dubbelklikken. controleer of hierin https://bankieren.rabobank.nl staat en dat dit ook de site is die je bezoekt. (door in de adresbalk te kijken)

Zoals ze het nu zeggen, en deze bug in IE kan ik dus inderdaad een man-in-the-middle attack uitvoeren. idee }>
Maar er zijn voorvallen geweest in VS waar mensen van een bank zgn. mailtje kregen met een berichtje van gelieve je account wegens technische redenen te confimeren en klick en passwoord en cifjercomputertje verder werd meteen door zo'n truc geld over gemaakt...

cfr:

http://slashdot.org/articles/03/11/14/2324223.shtml?tid=126&tid=172
Ik heb het getest en volgens mij werkt de bug niet met https...
man-in-the-middle ok maar kan je er ook iets mee. De RABO heeft een kastje waar je zowel de eigen code als de codes die je van het scherm moet invoeren (diverse keren en kan verlopen). In de codes van het scherm zal heus wel een controlemechanisme zitten dat gekoppeld zit aan het kastje en op het centrale systeem een belletje doet rinkelen als er iets niet helemaal lekker gaat.
Als de man-in-the-middle daadwerkelijk tussen de gebruiker en de echte site zit is hij degene die geauthoriseerd wordt en niet de echte gebruiker. Zolang die sessie actief is, kan hij dus doen wat ie wilt. Het kastje kan hier weinig aan doen, die berekend alleen de response code. En zolang de MITM de invoer van en naar de gebruiker maar goed doorsluist tijdens het inloggen wordt hij eigenaar van de sessie.
Mogelijk zitten er wel nog verdere checks in client side software die het onmogelijk maken...
Ik vraag me trouwens wel af of het SSL certificaat dit gaat accepteren.
Valt wel een beetje mee h ;)
Iemand die wil internetbankieren typt f gewoon de URL in, f haalt 'm uit z'n favorieten.

Zolang hij maar geen link vanaf een andere pagina gebruikt..
dat is nu precies de BUG!

klik hier maar eens op:
www.google.com@www.tweakers.net/
Het tweede linkje in het artikel geeft de pagina van tweakers.net, maar in de (mijn) adresbalk staat www.google.com. Dat vind ik dus geen feature meer.

edit: sneller typen :(
Als ik met mijn Opera 7.21 onder Linux op de link klik ga ik ook naar T.net |:(
Lijkt me niet alleen een probleem van IE.
Het is geen groot probleem als je goed oplet maar toch.
Toch weer een bewijs dat ook niet software voor linux niet helemaal zonder fouten kan zitten

* 786562 kwentje
Dat je naar Tweakers gaat is logisch, alles voor de @ wordt geinterpreteerd als gebruikersnaam. De vraag is alleen welke url je in je adresbalk ziet staan. Staat daar www.google.com@nummertje of staat er alleen www.google.com? Dat is het probleem in IE!

Je kan dan dus niet meer aan de adresbalk zien op welke pagina je eigenlijk bent, en www.hotmail.com zou iedereen boven zijn pagina kunnen zetten..
De voorlopige 'oplossing' voor dit probleem is dus je vr het klikken op een link even de eigenschappen bekijkt...
Dat schiet lekker op zeg :+
Zelfs deze oplossing/omzeiling werkt niet altijd!! Met javascript, e.d. is er namelijk zelf iets in de statusbalk te zetten. Als je echt zeker wilt zijn zul je dus met de rechtermuisknop op de link moeten klikken en dan pas naar de statusbalk moeten kijken (zolang het context-menu open staat).

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True