Wraz z 'atakiem' na konta użytkowników wróciła kwestia bezpieczeństwa i prywatności, a także coroczne przypominanie Michałowi o konieczności wdrożenia szyfrowania. Korzystając z okazji postanowiłem podsłuchać samego siebie i pokazać, jakie dane można uzyskać, podsł#!$%@?ąc Wykopowicza. Dane, które byłyby w pełni niewidoczne dla hackera gdyby tylko portal był szyfrowany ;)
tl;dr : Można przechwycić między innymi: * Identyfikatory wykopywanych i zakopywanych znalezisk. * Identyfikatory plusowanych oraz minusowanych komentarzy. * Treść wysyłanych komentarzy i wpisów, co samo w sobie nie jest aż tak szkodliwe, ponieważ są to dane publiczne. Oraz,uwaga: * Treść prywatnych wiadomości, zarówno wiadomości odbierane, jak i wysyłane.
Czy hacker może zobaczyć, które komentarze plusujecie lub minusujecie? Owszem. Oto żądanie wysyłane w momencie kliknięcia plusa przy komentarzu. W adresie mamy dwa numery, w moim przypadku jest to 3709443 i 44844875. Pierwszy to identyfikator znaleziska, drugi to identyfikator konkretnego komentarza. Wystarczy wkleić numerki do następującego adresu:
[http://www.wykop.pl/link//comment//#comment-](http://www.wykop.pl/link//comment//#comment-) Voila. Wiemy, który komentarz zaplusowała nasza ofiara ;)
Prawdziwe 'szoł' zaczyna się, kiedy wkraczamy na pole prywatnych wiadomości. Na górze obrazka mamy screenshot 'wykopowy', poniżej znajduje się screenshot zawartości podsłuchanego żądania. Czy można przechwycić treść prywatnych wiadomości? Oczywiście. Przechwycić to, co wysyłacie komuś na PW? Jasne.
Kto może to zobaczyć? Informatycy dostawcy internetowego, administratorzy lokalnego neta, włamywacz któremu udało się dostać do sieci, bo hasłem do wifi było 'qwerty' lub nawet brat-gimbus, który chce poszpiegować brata, siostrę albo mamę. Takich kwiatków jest znacznie więcej, zatem warto mieć na uwadze, że ktoś może obserwować to, co robicie i piszecie.
To tak w ramach przypomnienia, gdzie zarząd portalu ma dobro swoich użytkowników. ( ͡°ʖ̯͡°)
Dla porównania, tak wygląda dodanie komentarza na portalu Reddit, który szyfrowanie posiada. Nie można podsłuchać ani identyfikatorów ani treści żądań.
@von_stirlitz: sniffing to jest mały pikuś... dlaczego login prompt nie jest zabezpieczony przed floodem? wystarczyłoby 3 nieudane próby = blokada na 1h. nie byłoby problemu ani afery.
Nie popadajmy w paranoję. Ja rozumiem szyfrowanie w bankach czy serwisach transakcyjnych, ale na portalu ze śmiesznymi obrazkami? Może jeszcze certyfikat extended validation? I dedykowany na każdą podstronę osobno? Bo przecież wildcard jest zły. A może tak wystarczyłoby https przy logowaniu, zablokowanie możliwości wielokrotnego logowania (np captcha po 3 nieudanych próbach lub 2-factor authentication z wykorzystaniem google authenticator?
Pozostaje jeszcze kwestia samego podsłuchania która aż tak trywialna nie jest. Atakujący musi być
@von_stirlitz: Ja nie wiem, czy w końcu ten #!$%@?łek trzeba zgłosić bezpośrednio do kogoś z Cinven, Permira lub Mid Europa żeby naprawić tak oczywiste błędy? :F
@paprok: i wtedy biorę moją czarną listę i 3 razy jakimś automatem się loguje po kolei na każdego :) i tak co 59 minut - marzenia
Wystarczy na white liste z ktorej zalogujesz sie na konto a zawieralaby ona ostatnie 3 IP z ktorego byly udane proby logowania (✌゚∀゚)☞ albo kapec jesli IP jest inne od tej white listy
@adam-bojarski: https powinno być na każdej podstronie i jest to w dzisiejszych czasach elementarna zasada zabezpieczania przepływu danych, pierwszy lepszy gimbazjalista może nasłuchiwać w zasięgu swojej antenki wifi przechodzący ruch, zgarnąć hasło użytkownika wykopu lub jego sesję
Nadal piszemy o marginalnych przypadkach kiedy https na stronie ze śmiesznymi obrazkami może się przydać. Ile osób korzysta z publicznych hotspotow w dobie taniego dostępu komórkowego? Gimbazjalista z antenka powiadacie? Chyba w spodniach na myśl o różowym. W dobie wpa2 złamanie hasła do WiFi nawet z dobrą kartą graficzną zajmuje sporo czasu (kilka lat dla haseł o długości 12 znaków) więc nadal czekam na jakieś sensowniejsze uzasadnienie poza Google zaleca, chrome będzie
Dymy kończą się tam, gdzie komuś może stać się realna krzywda. To co zrobił Tyburski były bardzo niebezpieczne i jako koneserowi patologi jest mi smutno. Należy to potępić.
tl;dr :
Można przechwycić między innymi:
* Identyfikatory wykopywanych i zakopywanych znalezisk.
* Identyfikatory plusowanych oraz minusowanych komentarzy.
* Treść wysyłanych komentarzy i wpisów, co samo w sobie nie jest aż tak szkodliwe, ponieważ są to dane publiczne.
Oraz,uwaga:
* Treść prywatnych wiadomości, zarówno wiadomości odbierane, jak i wysyłane.
Czy hacker może zobaczyć, które komentarze plusujecie lub minusujecie? Owszem. Oto żądanie wysyłane w momencie kliknięcia plusa przy komentarzu. W adresie mamy dwa numery, w moim przypadku jest to 3709443 i 44844875. Pierwszy to identyfikator znaleziska, drugi to identyfikator konkretnego komentarza. Wystarczy wkleić numerki do następującego adresu:
[http://www.wykop.pl/link//comment//#comment-](http://www.wykop.pl/link//comment//#comment-)Voila. Wiemy, który komentarz zaplusowała nasza ofiara ;)
Prawdziwe 'szoł' zaczyna się, kiedy wkraczamy na pole prywatnych wiadomości. Na górze obrazka mamy screenshot 'wykopowy', poniżej znajduje się screenshot zawartości podsłuchanego żądania.
Czy można przechwycić treść prywatnych wiadomości? Oczywiście.
Przechwycić to, co wysyłacie komuś na PW? Jasne.
Kto może to zobaczyć? Informatycy dostawcy internetowego, administratorzy lokalnego neta, włamywacz któremu udało się dostać do sieci, bo hasłem do wifi było 'qwerty' lub nawet brat-gimbus, który chce poszpiegować brata, siostrę albo mamę. Takich kwiatków jest znacznie więcej, zatem warto mieć na uwadze, że ktoś może obserwować to, co robicie i piszecie.
To tak w ramach przypomnienia, gdzie zarząd portalu ma dobro swoich użytkowników. ( ͡° ʖ̯ ͡°)
#afera #aferabotowa #oswiadczenie
źródło: comment_KJ4T9BfRJ335rF6OkJnNTZ1HIwBG1aKL.jpg
PobierzNie można podsłuchać ani identyfikatorów ani treści żądań.
źródło: comment_6Yhfz4YgWWOAtYcpzywGR8N9fWZ9uKNp.jpg
Pobierz@paprok: This is wykop we're talking about.
@von_stirlitz: Jest już oficjalne stanowisko w tej sprawie właściciela serwisu:
Komentarz usunięty przez autora Wpisu
+ jw @zapoznalem @paprok
@SnZ: ?
Pozostaje jeszcze kwestia samego podsłuchania która aż tak trywialna nie jest. Atakujący musi być
Komentarz usunięty przez autora
Podobnie zresztą wiele innych instytucji: https://https.cio.gov/everything/
Wystarczy na white liste z ktorej zalogujesz sie na konto a zawieralaby ona ostatnie 3 IP z ktorego byly udane proby logowania (✌ ゚ ∀ ゚)☞ albo kapec jesli IP jest inne od tej white listy