goeienavond,
bestaat er een programma (eventueel script) dat de cookies in de tijdelijke map realtime encrypteert zodat inbraken zoals recentelijk op hotmailaccount worden uitgesloten (er wordt later ingelogd met geckopieerde cookies. Vb online bankieren: cookie wordt open en bloot opgelagen, maar als je ze niet accepteert werkt de site niet. Encryptie is hier dan misschien een oplossing voor (als het gebeurt voor ze opgeslagen worden). Ik denk dus meer aan een script dat de cookies geencrypteert opslaat.
cookies
- selder
- Moderator
- Berichten: 6305
- Lid geworden op: 29 jun 2005, 20:25
- Locatie: Tienen
- Uitgedeelde bedankjes: 99 keer
- Bedankt: 727 keer
Is online bankieren en hotmail tegenwoordig niet wat beter beveiligd dan enkel en alleen door cookies???
Ghost S1 • 8086K @5.2Ghz • Asus ROG Ryuo 240mm • Asus ROG STRIX Z390-I • Corsair Vengeance LPX 2x16GB 3200Mhz • Asus RTX2080Ti Turbo • Samsung 970 EVO 2TB • Asus ROG Swift PG258Q 240Hz • Logitech G Pro keyboard/mouse/headset
-
- Starter Plus
- Berichten: 47
- Lid geworden op: 11 sep 2005, 19:02
- Locatie: GENT
dat van hotmail is nog niet zolang geleden hoor en dat is nochtans een site die via https werkt. Online bankieren is ook wel via https maar als je geen cookies accepteert dan start de site niet op.
-
- Deel van't meubilair
- Berichten: 29849
- Lid geworden op: 28 okt 2003, 09:17
- Uitgedeelde bedankjes: 446 keer
- Bedankt: 1985 keer
Als pure cookie replay attacks werken stel ik mij ernstige vragen bij de security van de website
-
- Starter Plus
- Berichten: 47
- Lid geworden op: 11 sep 2005, 19:02
- Locatie: GENT
ik kan het natuurlijk zelf niet testen, maar ik neem aan dat een cookie gewoon kan gelezen worden als hij bijvoorbeeld wordt gekopieerd via internet (vb via een script dat op een besmette website draait)
ik kan het natuurlijk zelf niet testen, maar ik neem aan dat een cookie gewoon kan gelezen worden als hij bijvoorbeeld wordt gekopieerd via internet (vb via een script dat op een besmette website draait)
Nu zou ik toch graag een paar van je bronnen willen zien. Het zou me ten zeerste verbazen dat ik met een handvol cookies aan jouw netbanking toepassingen kan.
"We are the Borg. Lower your shields and surrender your ships. We will add your biological and technological distinctiveness to our own. Your culture will adapt to service us. Resistance is futile."
-
- Starter Plus
- Berichten: 47
- Lid geworden op: 11 sep 2005, 19:02
- Locatie: GENT
BRON: SCURITY.NL 29/8
Hotmail werkt ook via http en homebanking ook, dus zoveel verschil zal het niet geven volgens mij. Als er op de website van de bank wordt ingebroken heb ik prijs vrees ik
Als het een stomme opmerking is hoor ik graag waarom
Door Redactie op dinsdag 29 augustus 2006 10:07
Microsoft heeft een ernstig beveiligingslek in Hotmail, drie weken nadat het is ingelicht, nog altijd niet opgelost. Een Israelische informatica student ontdekte dat het via cross-site scripting mogelijk is om het cookie van een Hotmail gebruiker te stelen. Met dit bestand kan een aanvaller inloggen op het e-mail account, e-mail lezen en het wachtwoord aanpassen.
Baha Naamana lichtte drie weken geleden Microsoft in, en kreeg een reactie van het Microsoft Security Response Center dat ze het probleem zouden onderzoeken. De softwaregigant vroeg Naamana ook om de informatie nog niet aan het grote publiek bekend te maken. Toch is het probleem nog altijd niet opgelost, aldus Naamana, die door deze bekendmaking hoopt dat Microsoft het lek sneller zal dichten.
Hotmail werkt ook via http en homebanking ook, dus zoveel verschil zal het niet geven volgens mij. Als er op de website van de bank wordt ingebroken heb ik prijs vrees ik
Als het een stomme opmerking is hoor ik graag waarom
Door Redactie op dinsdag 29 augustus 2006 10:07
Microsoft heeft een ernstig beveiligingslek in Hotmail, drie weken nadat het is ingelicht, nog altijd niet opgelost. Een Israelische informatica student ontdekte dat het via cross-site scripting mogelijk is om het cookie van een Hotmail gebruiker te stelen. Met dit bestand kan een aanvaller inloggen op het e-mail account, e-mail lezen en het wachtwoord aanpassen.
Baha Naamana lichtte drie weken geleden Microsoft in, en kreeg een reactie van het Microsoft Security Response Center dat ze het probleem zouden onderzoeken. De softwaregigant vroeg Naamana ook om de informatie nog niet aan het grote publiek bekend te maken. Toch is het probleem nog altijd niet opgelost, aldus Naamana, die door deze bekendmaking hoopt dat Microsoft het lek sneller zal dichten.
-
- Elite Poster
- Berichten: 2149
- Lid geworden op: 01 feb 2003, 11:58
- Uitgedeelde bedankjes: 44 keer
- Bedankt: 12 keer
Netbanking gaat vermoed ik altijd over ssl gaan.
-
- Deel van't meubilair
- Berichten: 29849
- Lid geworden op: 28 okt 2003, 09:17
- Uitgedeelde bedankjes: 446 keer
- Bedankt: 1985 keer
crapiecorn schreef:Netbanking gaat vermoed ik altijd over ssl gaan.
SSL lost dit probleem niet op... het gaat er hier over dat iemand via een script (of hoe dan ook, maar cross site scripting blijkt uiterst effectief) je inlog cookie steelt en het op een andere PC hergebruikt (zonder dat hij de login pagina's doorloopt).
Bij een correcte security zal dergelijke cookie echter statefull zijn (op niveau van de forms), IP-gebonden zijn, beperkt in tijd, niet meer geldig zijn na een logoff (welke dan ook alle sessies moet vernietigen), ...
Audits op de internet banking software in Belgie controleren dit specifiek (kan erover meepraten) en ik weet dus ook dat de ontwikkelaars het dan normaal ook oplossen moest dit niet correct geimplementeerd zijn.
Het lijkt mij bizar dat Microsoft (alhoewel) nog steeds dergelijke security problemen mogelijk maakt.
-
- Starter Plus
- Berichten: 47
- Lid geworden op: 11 sep 2005, 19:02
- Locatie: GENT
R2504, ik hoop dat je gelijk hebt. Ik werk er al 6 jaar mee en gelukkig is het nog niet verkeerd gegaan, maar het stelt me al gerust dat ik het ook eens hoor van iemand die het verhaal van de andere kant (bankserver) min of meer ui de praktijk kent. De cookie op mijn pc zijn vrij lang geldig en de map met tijdelijke bestanden wordt ook leeg gemaakt als ik stop met surfen, maar dat kan soms vb 10u duren en op 10u kan er veel gekopieerd worden (mocht er spyware op de pc zitten, hetgeen niet het geval is). Maar als je zo'n verhalen leest denk je toch wel na. Bovendien moet je altijd een papier tekenen (nog voor je de logins krijgtà dat de bank nooit kan aansprakelijk gesteld worden.
Hout vasthouden dus, maar in ieder geval, zonder ccokiebestand start de applicatie gewoon niet op.
Computernerd
Hout vasthouden dus, maar in ieder geval, zonder ccokiebestand start de applicatie gewoon niet op.
Computernerd