abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 13:33 | Pozvánky

Byly stanoveny termíny konferencí LinuxDays 2017 a OpenAlt 2017. Letošní LinuxDays proběhne o víkendu 7. a 8. října v Praze v Dejvicích v prostorách FIT ČVUT. Letošní OpenAlt proběhne o víkendu 4. a 5. listopadu na FIT VUT v Brně.

Ladislav Hagara | Komentářů: 0
včera 11:11 | Komunita

Jiří Eischmann z desktopového týmu Red Hatu se v příspěvku Linuxový desktop: Co vám chybí na svém blogu ptá, co uživatele na Fedora Workstation a na linuxovém desktopu obecně trápí a co by desktopový tým mohl zlepšit. Pokud máte nějaké podněty, napište mu je do komentářů.

Ladislav Hagara | Komentářů: 66
včera 03:33 | Nová verze

Byla vydána nová verze 0.25.0 multimediálního přehrávače mpv (Wikipedie) vycházejícího z přehrávačů MPlayer a mplayer2. Z novinek lze zmínit například podporu DVB-T2. Další části mpv byly přelicencovány z GPLv2 nebo novější na LGPLv2.1 nebo novější (#2033).

Ladislav Hagara | Komentářů: 0
včera 02:22 | Zajímavý projekt

Na Bundle Stars byla spuštěna akce Dollar Forever Bundle. Za 1 dolar lze získat 24 počítačových her bežících na platformě Steam také v Linuxu.

Ladislav Hagara | Komentářů: 2
24.4. 23:44 | Zajímavý software

Lychee je jedním z open source softwarů pro tvorbu webových fotoalb. Vyžadováno je PHP 5.5 nebo novější a MySQL. Ukázka na stránkách projektu. Zdrojové kódy jsou k dispozici na GitHubu pod open source licencí MIT [reddit].

Ladislav Hagara | Komentářů: 6
24.4. 22:22 | Zajímavý software

Společnosti Haivision a Wowza společně oznámily vznik SRT Alliance a otevření protokolu pro streamování videa SRT. Podrobnosti v FAQ. Zdrojové kódy SRT jsou k dispozici na GitHubu pod open source licencí LGPLv2.1.

Ladislav Hagara | Komentářů: 0
24.4. 12:33 | Humor

Byl vydán remake filmu Ghost in the Shell. Tentokrát v Bashi. Zhlédnout lze online na "ssh ghost@theshell.xyz" [Hacker News].

Ladislav Hagara | Komentářů: 16
23.4. 20:40 | Zajímavý článek

Lukáš Růžička v článku S Hydrogenem za lepší rytmus aneb bubeníkem snadno a rychle na MojeFedora.cz představuje automatického bubeníka s názvem Hydrogen (Wikipedie): Hydrogen je velmi vydařený program, který rozhodně nesmí chybět ve výbavě žádného linuxového muzikanta. Umožňuje nejen vytváření jednoduchých bicích doprovodů, ale také sofistikované programování bicích a perkusí, jehož výsledek se naprosto vyrovná drahým

… více »
Ladislav Hagara | Komentářů: 18
23.4. 13:55 | Zajímavý projekt

UPSat (Twitter) je první open source nanodružice (CubeSat). Jedná se o společný projekt nadace Libre Space Foundation a University of Patras. Repozitáře projektu jsou k dispozici na GitHubu. Pod Libre Space Foundation patří také projekt SatNOGS (zprávička), projekt globální sítě open source pozemních satelitních stanic, vítězný projekt soutěže The Hackaday Prize 2014. UPSat je součástí mise QB50 (Twitter). ID UPSatu je GR02. GPS přijímač na UPSatu je od české společnosti SkyFox Labs. Součástí mise QB50 je i česká nanodružice VZLUSAT-1 s ID CZ02.

Ladislav Hagara | Komentářů: 5
21.4. 15:00 | Komunita

V diskusním listu Thunderbird planning vývojáři poštovního klienta Thunderbird řeší, zda by nebylo možné budoucí Thunderbird postavit nad webovými technologiemi, tj. nad Electronem, stejně jako například Nylas Mail. Gecko, nad kterým je Thunderbird postaven, se má hodně změnit. V plánu je odstranění vlastností, které Firefox už nepotřebuje, ale Thunderbird je na nich závislý [Hacker News, reddit].

Ladislav Hagara | Komentářů: 103
Chystáte se pořídit CPU AMD Ryzen?
 (4%)
 (34%)
 (1%)
 (7%)
 (45%)
 (10%)
Celkem 303 hlasů
 Komentářů: 43, poslední dnes 02:36
    Rozcestník

    Phishing s unicode doménami

    CSIRT.CZ upozorňuje na chybu v prohlížečích Chrome a Firefox umožňující vytvořit phishingovou stránku, kterou lze jen velmi těžko identifikovat jako závadnou. Chyba spočívá v implementaci ochrany proti dávno známému útoku homograph attack. Čínský bezpečnostní expert Xudong Zheng zjistil, že ochrana proti tomuto útoku selže v okamžiku, kdy doménové jméno obsahuje všechny znaky v jiném jazyce. Viz například аррӏе.com vs. apple.com nebo еріс.com vs. еріс.com.

    18.4. 13:11 | Ladislav Hagara | Bezpečnostní upozornění


    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    18.4. 13:18 humanoid
    Rozbalit Rozbalit vše Re: Phishing s unicode doménami
    ??? sak su to rovnake stranky
    18.4. 13:31 tyvole
    Rozbalit Rozbalit vše Re: Phishing s unicode doménami
    Vždyť všechny prohlížeče jsou ,,chromý,, ,zkoušel jsem ruskej Yandex,zaujal mne svou rychlostí,no samozřejmě chromej stokrát jinak,ale to rusákovi nevadí.
    18.4. 13:43 fi
    Rozbalit Rozbalit vše Re: Phishing s unicode doménami
    Příloha:
    A jak presne to funguje? Jako ze klepnu na "apple.com" a pak si nevsimnu, ze v adresnim radku je jina domena?
    18.4. 13:56 R
    Rozbalit Rozbalit vše Re: Phishing s unicode doménami
    Funguje to presne tak, ze Firefox v adresnom riadku zobrazi apple.com. A vyvojari tvrdia, ze to je vporiadku.
    18.4. 14:32 fi
    Rozbalit Rozbalit vše Re: Phishing s unicode doménami
    Psali, ze to dela i chrome, ale mne se v nem ukazuje ascii reprezentace.
    18.4. 14:48 JoHnY3
    Rozbalit Rozbalit vše Re: Phishing s unicode doménami
    Zvlastni, me se zobrazi https://www.xn--80ak6aa92e.com/ ve FF i Vivaldi.
    18.4. 15:21 Kate | skóre: 6
    Rozbalit Rozbalit vše Re: Phishing s unicode doménami
    K čemu pak ale to IDN je, když je z toho v adrese takový bordel? :)
    18.4. 16:44 chrono
    Rozbalit Rozbalit vše Re: Phishing s unicode doménami
    Pokiaľ viem, tak vo FF sa dá v about:config nastaviť, aby sa punycode zobrazovalo vždy.
    18.4. 23:26 qw11
    Rozbalit Rozbalit vše Re: Phishing s unicode doménami

    about:config - network.IDN_show_punycode

    nastavit na true

    Bystroushaak avatar 18.4. 19:09 Bystroushaak | skóre: 31 | blog: Bystroushaakův blog | Praha
    Rozbalit Rozbalit vše Re: Phishing s unicode doménami
    To se mi zobrazí v případě apple.com, v tom druhém to palemoon zobrazí jako unicode.
    18.4. 13:58 Sten
    Rozbalit Rozbalit vše Re: Phishing s unicode doménami
    Nevěřte všemu, co se píše na webu.
    Google has already patched the vulnerability in its experimental Chrome Canary 59 and will come up with a permanent fix with the release of Chrome Stable 58, set to be launched later this month.
    Mám Chrome Stable 57 a zobrazuje domény https://xn--80ak6aa92e.com/ a https://www.xn--e1awd7f.com/.
    18.4. 16:50 chrono
    Rozbalit Rozbalit vše Re: Phishing s unicode doménami
    V Chromiu 57 sa tam zobrazí apple a epic (a nie punycode).
    18.4. 16:55 Sten
    Rozbalit Rozbalit vše Re: Phishing s unicode doménami
    Chromium verze 57.0.2987.133 built on Debian 9.0, running on Debian 9.0 (64-bit): stejný výsledek (punycode)
    18.4. 18:18 FSAAFS
    Rozbalit Rozbalit vše Re: Phishing s unicode doménami
    Mám chrome 57 na windows a ty adresy zobrazuje jako apple.com....
    18.4. 14:46 jancici
    Rozbalit Rozbalit vše Re: Phishing s unicode doménami
    pekne ;-)
    - vo firefoxe 52.0.2 {archlinux} to funguje, ked idem mysou cponad linku tak to v stavovom riadku ukazuje apple.com pre obidve
    - skusil som teda vivaldi 1.8.770.56 {archlinux} a tam to zobrazuje asci reprezentaciu domeny, ked idem mysou ponad linku tak to ukazuje asci reprezentaciu, cize pre prvu apple.com xn--80ak6aa92e.com
    18.4. 14:57 Ladislav Hagara | skóre: 78 | blog: Ride the Raven
    Rozbalit Rozbalit vše Re: Phishing s unicode doménami
    Na Fedoře a Ubuntu lze Firefox i Chrome k phishingu zneužít, zobrazují apple.com.
    Vivaldi na Ubuntu zobrazí xn-...
    18.4. 15:32 FSAAFS
    Rozbalit Rozbalit vše Re: Phishing s unicode doménami
    Meh. Na možné problémy s phishingem se v diskusích na root.cz upozorňuje snad pokaždé, když se mluví o zavedení diakritiky do domén. Tady o tomto problému někdo píše už v roce 2007... Je super, že si to svět po deseti letech konečně uvědomil taky.
    https://www.root.cz/zpravicky/diakritika-v-domene-eu-je-pry-otazkou-casu/174104/
    Považuji za ostudu, že se třeba Google Chrome stále nechá nachytat.
    18.4. 16:52 chrono
    Rozbalit Rozbalit vše Re: Phishing s unicode doménami
    Asi nikomu nenapadlo, že sa niektoré domény budú dať kompletne vytvoriť zo znakov iného jazyka (ako je to pri tom apple a epic) a pri miešaní znakov rôznych jazykov každý normálny prehliadač už dlho zobrazuje punycode.
    18.4. 18:16 FSAAFS
    Rozbalit Rozbalit vše Re: Phishing s unicode doménami
    Nenapadlo je to za celých deset let? Jen jestli to nebude tím, že o tom vůbec nepřemýšleli.
    Firefox to dělá, ale Chrome ne. Testoval jsem to.
    18.4. 18:38 chrono
    Rozbalit Rozbalit vše Re: Phishing s unicode doménami
    Zjavne to doteraz nikomu nenapadlo.
    18.4. 19:33 FSAAFS
    Rozbalit Rozbalit vše Re: Phishing s unicode doménami
    Naopak bych řekl, že to napadlo skoro všechny. Tedy kromě těch, kteří to mají na starosti.
    Vzhledem k tomu, že se debaty o phishingu objevují na rootu snad v každé diskusi o zavedení diakritiky do domén, nebude těžké přijít na to, že phishingové útoky hrozí. A pokud phishingové útoky hrozí, měl si někdo sednout a zkoumat, jakými všemi způsoby se UTF8 dá na phishingové útoky zneužít. Nebo alespoň mohl dát dotaz "UTF8 phishing" do googlu (bez uvozovek). A vyjel by mu článek na wikipedii z roku 2005, který přímo na tento útok také upozorňuje.
    https://en.wikipedia.org/wiki/IDN_homograph_attack
    18.4. 22:12 chrono
    Rozbalit Rozbalit vše Re: Phishing s unicode doménami
    Tam sa ale nič o aktuálnej variante útoku nepíše (píše sam tam len o prípade, keď sú niektoré znaky vizuálne podobné, na čo upozornia všetky prehliadače už dlho). Takže, ako som už písal, nikomu nenapadol tento druh toho útoku (možno preto, že sa nedá použiť pre akékoľvek domény).
    19.4. 09:13 Spitzbube
    Rozbalit Rozbalit vše Re: Phishing s unicode doménami
    A jaký je jako rozdíl mezi tím aktuálním a mezi neaktuálním útokem? Já žádný zásadní nevidím.
    19.4. 10:11 R
    Rozbalit Rozbalit vše Re: Phishing s unicode doménami
    Ziadny, je to len specialny pripad toho starsieho utoku. Niektore pismena su nahradene pismenami z inej abecedy, v tomto pripade vsetky...
    19.4. 10:54 chrono
    Rozbalit Rozbalit vše Re: Phishing s unicode doménami
    Ten popis na CSIRT.CZ (a teda aj v tejto správe) je zavádzajúci, pôvodne sa píše
    According to Zheng, the loophole relies on the fact that if someone chooses all characters for a domain name from a single foreign language character set, resembling exactly same as the targeted domain, then browsers will render it in the same language, instead of Punycode format.
    (a tiež sa tam píše, že tá ochrana momentálne fungovala len ak boli použité rôzne znakové sady)
    19.4. 12:15 Lol Phirae | skóre: 23
    Rozbalit Rozbalit vše Re: Phishing s unicode doménami
    Ano, to je opravdu ohromná novinka...
    19.4. 15:57 chrono
    Rozbalit Rozbalit vše Re: Phishing s unicode doménami
    Zábavné je, že sa zrazu na tú tému objavilo toľko odborníkov (a nikto z nich neupozornil na to, že sa niečo podobné môže stať).
    19.4. 23:47 Lol Phirae | skóre: 23
    Rozbalit Rozbalit vše Re: Phishing s unicode doménami
    Prosímtě, na tohle upozorňují všichni od doby, co se začala vymýšlet kokotina s IDN. Ne, fakt jste v Horních Uhrách nic převratného neobjevili, i když nad tím už týden onanuješ.
    pavlix avatar 20.4. 00:15 pavlix | skóre: 53 | blog: pavlix
    Rozbalit Rozbalit vše Re: Phishing s unicode doménami
    Jakých odborníků, vždyť je to všeobecně známá věc, že se mnohé unicode znaky neliší ve vzhledu.
    20.4. 03:23 Ladislav Hagara | skóre: 78 | blog: Ride the Raven
    Rozbalit Rozbalit vše Re: Phishing s unicode doménami
    Dík, zprávičku jsem opravil.
    < selže v okamžiku, kdy doménové jméno obsahuje znaky z různých jazyků.
    > selže v okamžiku, kdy doménové jméno obsahuje všechny znaky v jiném jazyce.
    18.4. 17:59 Lol Phirae | skóre: 23
    Rozbalit Rozbalit vše Re: Phishing s unicode doménami
    Také jsem šokován tímto zcela fundamentálním objevem. Viz... :-D :-) :-D
    19.4. 09:10 Spitzbube
    Rozbalit Rozbalit vše Re: Phishing s unicode doménami
    1) taková doména by vůbec neměla být vydána

    2) prohlížeče by ji neměly zobrazit, resp. měly by na ni upozornit
    19.4. 10:56 Ivan
    Rozbalit Rozbalit vše OT: Re: Phishing s unicode doménami
    Nedavno jsem resil neco podobnyho. Mel jsem v databazi dva uzivatele se stejnym jmenem "MBORODIN". Nakonec se ukazalo, ze jeden z nich ma pismeno "M" ulozene jako "M" v azbuce. Je to neprijemny(ale asi nutny) dusledek pouzivani unicode. Staci aby uzivatel pouzil copy-paste mezi PDF a webovym formularem, a netusite jaka vlastne mate ulozena data.

    Myslim, si, ze v prvni rade by mela byt validace na strane domeny, aby nemelo by byt mozne neco takoveho vubec vytvorit.
    Bystroushaak avatar 19.4. 14:39 Bystroushaak | skóre: 31 | blog: Bystroushaakův blog | Praha
    Rozbalit Rozbalit vše Re: OT: Re: Phishing s unicode doménami
    Myslim, si, ze v prvni rade by mela byt validace na strane domeny, aby nemelo by byt mozne neco takoveho vubec vytvorit.
    Ale to není bug, to je lisabonská feature, o které se hlasuje a která bude odmítána tak dlouho, dokud jí konečně veřejnost neschválí.
    20.4. 17:23 trekker.dk | skóre: 71
    Rozbalit Rozbalit vše Re: OT: Re: Phishing s unicode doménami
    Á, oblíbené hlasování tak, že se ptáme těch, kdo nám řeknou, co chceme slyšet. Prej veřejnost...
    Quando omni flunkus moritati
    19.4. 16:08 chrono
    Rozbalit Rozbalit vše Re: OT: Re: Phishing s unicode doménami
    Problém je v tom, že niektorý registrátori domén umožňujú použiť rôzne znakové sady (nesmú sa ale miešať). V momente, ako podporujú aj cyriliku, nastávajú presne popísané problémy. Okrem. .com je to možné napr. aj na .net, .pl a kopci ďalších, hlavne "moderných" domén. (zoznam je tu)
    20.4. 11:30 finch
    Rozbalit Rozbalit vše Re: OT: Re: Phishing s unicode doménami
    to sa mi nejako nezdá. čo som pochopil tak punicode je spôsob ako zakodovať unicode ako ascii. nemá to nič spoločné s registrátormi a ich podporou znakových sád.
    20.4. 12:17 chrono
    Rozbalit Rozbalit vše Re: OT: Re: Phishing s unicode doménami
    Nezdá sa ti čo? Na tej odkazovanej stránke sú informácie o tom, aké znakové sady podporujú registrátori na rôznych doménach (a nie je problém tam nájsť, že napr. pre .com sa vydávajú aj domény v cyrilike).
    20.4. 15:45 finch
    Rozbalit Rozbalit vše Re: OT: Re: Phishing s unicode doménami
    to je ok, ale predsa tento phishing je o domenach, ktore maju nazov cisto v ascii, resp. unicode sa koduje do ascii. tvoj priklad sa skor tyka povodnej zranitelnosti homograph attack. ci sa mylim?
    20.4. 17:26 chrono
    Rozbalit Rozbalit vše Re: OT: Re: Phishing s unicode doménami
    Toto je len nová verzia toho pôvodného útoku. Tentoraz ide o to, že sú všetky znaky z inej abecedy (a nie len niektoré). Napr. tá doména apple.com je v skutočnosti аррӏe.com (a keďže sú všetky znaky z inej abecedy, dá sa to použiť len pre niektoré domény)

    Založit nové vláknoNahoru


    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.