abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 00:33 | IT novinky

    FEL ČVUT vyvinula robotickou stavebnici pro mladé programátory. Stavebnice Brian byla navržená speciálně pro potřeby populární Robosoutěže. Jde ale také o samostatný produkt, který si může koupit každý fanoušek robotiky a programování od 10 let, ideální je i pro střední školy jako výuková pomůcka. Jádro stavebnice tvoří programovatelná řídicí jednotka, kterou vyvinul tým z FEL ČVUT ve spolupráci s průmyslovými partnery. Stavebnici

    … více »
    Ladislav Hagara | Komentářů: 3
    včera 20:33 | Komunita

    Ubuntu bude pro testování nových verzí vydávat měsíční snapshoty. Dnes vyšel 1. snapshot Ubuntu 25.10 (Questing Quokka).

    Ladislav Hagara | Komentářů: 0
    včera 14:55 | Nová verze

    Společnost Netgate oznámila vydání nové verze 2.8.0 open source firewallové, routovací a VPN platformy pfSense (Wikipedie) postavené na FreeBSD. Přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    včera 14:00 | Nová verze

    Byla vydána nová verze 6.16 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Tor Browser byl povýšen na verzi 14.5.3. Linux na verzi 6.1.140. Další změny v příslušném seznamu.

    Ladislav Hagara | Komentářů: 0
    včera 12:33 | Zajímavý článek

    Člověk odsouzený za obchod s drogami daroval letos ministerstvu spravedlnosti 468 kusů kryptoměny bitcoin, které pak resort v aukcích prodal za skoro miliardu korun. Darováním se zabývá policejní Národní centrála proti organizovanému zločinu (NCOZ). Deníku N to potvrdil přímo ministr spravedlnosti Pavel Blažek (ODS). Podle resortu bylo nicméně vše v souladu s právem.

    Ladislav Hagara | Komentářů: 10
    28.5. 20:44 | Nová verze

    Svobodný a otevřený multiplatformní editor EPUB souborů Sigil (Wikipedie, GitHub) byl vydán ve verzi 2.5.0. Stejně tak doprovodný vizuální EPUB XHTML editor PageEdit (GitHub).

    Ladislav Hagara | Komentářů: 0
    28.5. 12:22 | IT novinky

    Na základě národního atribučního procesu vláda České republiky označila Čínskou lidovou republiku za zodpovědnou za škodlivou kybernetickou kampaň proti jedné z neutajovaných komunikačních sítí Ministerstva zahraničních věcí ČR. Tato škodlivá aktivita, která trvala od roku 2022 a zasáhla instituci zařazenou na seznam české kritické infrastruktury, byla provedena kyberšpionážní skupinou APT31, veřejně spojovanou se zpravodajskou službou Ministerstvo státní bezpečnosti (MSS).

    Ladislav Hagara | Komentářů: 29
    28.5. 00:11 | Nová verze

    Google Chrome 137 byl prohlášen za stabilní. Nejnovější stabilní verze 137.0.7151.55 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 11 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře.

    Ladislav Hagara | Komentářů: 0
    27.5. 19:22 | Nová verze

    Byl vydán AlmaLinux OS 10 s kódovým názvem Purple Lion. Podrobnosti v poznámkách k vydání. Na rozdíl od Red Hat Enterprise Linuxu 10 nadále podporuje x86-64-v2.

    Ladislav Hagara | Komentářů: 0
    27.5. 15:11 | Nová verze

    Byl vydán Mozilla Firefox 139.0. Přehled novinek v poznámkách k vydání a poznámkách k vydání pro vývojáře. Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 139 je již k dispozici také na Flathubu a Snapcraftu.

    Ladislav Hagara | Komentářů: 10
    Jaký je váš oblíbený skriptovací jazyk?
     (54%)
     (32%)
     (8%)
     (3%)
     (0%)
     (1%)
     (3%)
    Celkem 160 hlasů
     Komentářů: 12, poslední 28.5. 18:42
    Rozcestník

    Opraven vážný bezpečnostní problém

    14.5.2007 19:56 | Přečteno: 2049× | Abíčko

    Dominik Joe Pantůček mě upozornil na závažnou díru v Abíčku. Sice jsem se o ni doslechl už dříve, ale teprve teď jsem si dokázal konkrétně představit, jak by se dala zneužít. S Joem jsme pak našli algoritmus, který by měl být dostatečně odolný.

    Konkrétně šlo o to, že do parametru SRC bylo možno vložit speciální URL na provedení nějaké akce. Například byste do blogu přidali obrázek, jehož adresa by byla rovna odeslání komentáře s textem Leoš tam má díru. Každý, kdo by si blog otevřel, by okamžitě k němu přidal tento komentář. Nebo by šlo dělat skrytější akce, například hlasování v anketě, hodnocení blogu či smazání nového článku (pokud by si blog otevřel admin).

    Teď jsem měl několik možností, jak situaci vyřešit. Například úplně zakázat obrázky, nebo povolit jen obrázky umístěné na abclinuxu v bezpečných adresářích. Vzhledem k možnosti redirektu totiž nemělo smysl považovat jakákoliv URL mimo abíčko za bezpečná. Ale nechtěl jsem omezovat uživatele a proto jsem se vydal jinou cestou - kontrolovat všechny akce, zda jsou volány tak, jak by měly být volány.

    S Joem jsme došli k názoru, že útok na abíčko by musel jít jen přes GETové linky, tudíž první fronta obrany je ověření, zda akce přišla jako POST. Nicméně existuje poměrně dost akcí, které nejsou ve formuláři, ale jako odkazy. Například zmražení diskuse nebo hodnocení článku. Pro ně jsem musel vytvořit koncept ticketu, který je přiřazen ke každému uživateli. Pokud tedy akce může přijít jako GET, kontroluji, zda je vyplněn správný ticket. Ten je tajný a útočník se k němu nemůže dostat, leda chybou uživatele. A i pak by šel udělat útok na konkrétního uživatele, ale už ne obecný na všechny uživatele. Další obranou je kontrola referera. Ověřuji, zda předchozí stránka byla formulář či nikoliv.

    Abíčko je velmi, ale opravdu velmi rozsáhlé a proto obsahuje spousty různých akcí a situací. Co platí pro jednu akci, pro druhou neprojde. Takže metoda ActionProtector.ensureContract() má čtyři přepínače, které určují, co se má kontrolovat. Využitých kombinací je většina.

    Závěrem chci poděkovat Joeovi za pomoc. Pokud narazíte na další problém, prosím dejte mi vědět, pokusím se jej opravit.

    PS. dostanete-li chybu Chybné volání akce, přečtěte si FAQ. Možná je chyba na vaší straně.

           

    Hodnocení: 91 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    14.5.2007 20:00 sssssssss | skóre: 15 | blog: cotoje
    Rozbalit Rozbalit vše Re: Opraven vážný bezpečnostní problém
    a pak se divte, že vyhrálo ubuntu v anketě, když jste tu měli takovou díru!!! :-)
    hmm
    14.5.2007 21:19 jyrki | skóre: 22 | blog: JKR
    Rozbalit Rozbalit vše Re: Opraven vážný bezpečnostní problém
    Tak tim se vysvetluje i dobre umisteni Archu, Gentoo a Mandrivy :-D
    We don't need no education...Asi potřebuješ, použil si dvakrát zápor * Registrovaný uživatel Linux #245559.
    Martin Stiborský avatar 14.5.2007 21:20 Martin Stiborský | skóre: 26 | blog: Stibiho bláboly | Opava
    Rozbalit Rozbalit vše Re: Opraven vážný bezpečnostní problém
    Jeden dotaz, co někoho vede k tomu, aby takovému zapisku dal špatné hodnocení ? Za co ?
    Kvík ..
    Luboš Doležel (Doli) avatar 14.5.2007 21:22 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
    Rozbalit Rozbalit vše Re: Opraven vážný bezpečnostní problém
    To už je tak trochu klasika. Podívej se na předchozí zápisky o vylepšeních Ábíčka, i tam se negativní hlasy najdou :-)
    Martin Stiborský avatar 14.5.2007 21:33 Martin Stiborský | skóre: 26 | blog: Stibiho bláboly | Opava
    Rozbalit Rozbalit vše Re: Opraven vážný bezpečnostní problém
    Vím, jenom jsem se chtěl zeptat zda mi někdo poví důvod, jediné co mě napadlo byl sloh ... který může být vnímán subjektivně, ač mi se zdá v pořádku.
    Kvík ..
    15.5.2007 08:01 happy barney | skóre: 34 | blog: dont_worry_be_happy
    Rozbalit Rozbalit vše Re: Opraven vážný bezpečnostní problém
    možno niekto, komu prestala fungovať zábavka :-)

    popr nejaký perfekcionista, ktorému vadí, že tam vôbec nejaká chyba bola ... :-D

    14.5.2007 21:29 thingie
    Rozbalit Rozbalit vše Re: Opraven vážný bezpečnostní problém
    No a proč ne. Třeba se mi nelíbí jak to Leoš napsal. Proč ne?
    Max avatar 14.5.2007 21:32 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Opraven vážný bezpečnostní problém
    Mno, asi to třeba naštvala toho šprýmaře, co to využil pro ubuntu :D(no řekněte, tolik hlasů, to nejni normální :D)
    Zdar Max
    Měl jsem sen ... :(
    14.5.2007 21:40 jyrki | skóre: 22 | blog: JKR
    Rozbalit Rozbalit vše Re: Opraven vážný bezpečnostní problém
    Napada me preklik. Spatne fungujici mys, halucinace - clovek si mysli ze dela neco jineho...pak me jeste napada na tomto serveru nemozna zlomyslnost. Osobne davam "dobre"
    We don't need no education...Asi potřebuješ, použil si dvakrát zápor * Registrovaný uživatel Linux #245559.
    14.5.2007 22:21 Lu-Tze | skóre: 15 | blog: Lu-Tzeho blog
    Rozbalit Rozbalit vše Re: Opraven vážný bezpečnostní problém
    Prostě se mi nelíbíl. Řekni ty, proč se ti tak strašně libí, když je pro tebe tak nepochopitelné, že někdo tvůj názor na něj nesdílí. Mimochodem už po prvním odstavci jsem tušil, že nebudu hodnotit kladně.
    Martin Stiborský avatar 14.5.2007 22:39 Martin Stiborský | skóre: 26 | blog: Stibiho bláboly | Opava
    Rozbalit Rozbalit vše Re: Opraven vážný bezpečnostní problém
    Nevím jak jsi přišel na to že je to pro mě nepochopitelné, já jenom chtěl vědět za co takové hodnocení ...
    Ok, pro každého asi není jediné měřítko pro udělení dobrého hodnocnení to, že pan Literák má snahu vylepšovat ábíčko.
    Neměl bys něco konkrétního co se ti nelíbilo ??
    Mimochodem, je pěkná ptákovina to řešit, ale přece jenom, když už ses obtěžoval na mě reagovat ...
    Kvík ..
    14.5.2007 23:19 Lu-Tze | skóre: 15 | blog: Lu-Tzeho blog
    Rozbalit Rozbalit vše Re: Opraven vážný bezpečnostní problém
    Přišel jsem na to tak, že jsi napsal ten komentář. S tou ptákovinou jsi začal ale ty :-)

    To já jsem ale nehodnotil snahu vylepšovat abcl, já jsem hodnotil jen zápisek. A hned v prvním odstavci mě autor naštval použitím slova algoritmus. Nemám rád, když se vznešená slova používají pro každou blbinu (ikdyž je to třeba formálně správně). Když už jsme u toho tak, jsem se trochu podivil i nad použitím slova sofistikovaný ve vysvětlení té chyby. Je to balast, do vysvětlení nic takového nepatří. "Obsahuje sofistikovanou ochranu" nebo "vznikne číslo, které se zpracuje složitou matematickou funkcí (na bázi logaritmu)". Přispívají ta slova nějak k ozřejmění problému?

    Snaha vylepšovat tenhle web je jistě hodna ocenění, ale představuju si trochu jiné ocenění než dobré hodnocení blogu. A taky je to oprava chyby, ne nová funkce, po které všichni prahneme :-) Kdyby ti každou hodinu na deset minut vypadl obraz v televizi kvůli nějaké chybě u provozovatele stanice, taky bys posílal děkovné dopisy až by to opravili? Jestliže něco závisí jen na nadšenectví několika málo jednotlivců, tak to nemůže mít tuhý kořínek a dříve nebo později to shnije. To se týká nejen tohohle webu ale i třeba samotného linuxu. I na to je třeba pamatovat při hledání správné formy ocenění.
    vencour avatar 15.5.2007 10:46 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: Opraven vážný bezpečnostní problém

    Třeba nemá rád 100% čistotu, hodnotu atd.? Pak snad ale může ještě nehlasovat.

    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    14.5.2007 21:27 abr | skóre: 24 | blog: ab
    Rozbalit Rozbalit vše Re: Opraven vážný bezpečnostní problém
    Gratuluji k opraveni!
    Co tak udelat rozhovor s Joem? Dlouho jsem o nem neslysel...
    14.5.2007 22:41 Jan Grmela | skóre: 45 | blog: Kilo šťávy z lachtana | Brno
    Rozbalit Rozbalit vše Re: Opraven vážný bezpečnostní problém
    Nojo, CSRF je dost protivný problém a bohužel se mi zdá, že jen málokterá webová aplikace dělaná na míru má tuhle záležitost ošetřenou. To s tím ticketem je IMHO nejrozumnější řešení...ostatně žádné jiné, které by zaručovalo stejnou úroveň zabezpečení mě nenapadá :-)
    14.5.2007 23:58 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Opraven vážný bezpečnostní problém
    Á referery. Když jsem včera uviděl tu chybovou hlášku, tak jsem se zalekl, že máte něco rozbitého. Pak jsem pojal podezření na kešovaní a ke konci jsem byl ochotný připustit, že se kontroluje stahovaní reklam. Nakonec jsem objevil, že na vině je podvrhnutý referer.

    Aspoň, že se vše vysvětlilo ;0
    15.5.2007 00:03 Jan Grmela | skóre: 45 | blog: Kilo šťávy z lachtana | Brno
    Rozbalit Rozbalit vše Re: Opraven vážný bezpečnostní problém
    To je tak, když chce být někdo anonymní :-D
    Petr Tomášek avatar 21.5.2007 10:37 Petr Tomášek | skóre: 39 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Opraven vážný bezpečnostní problém
    a) a nebylo by lepší, kdyby uživatel nemohl vkládat „speciální URL do parametru SRC“? (Např. kdyby se namísto HTML značek používala nějaká wiki-syntax a obrázky by byly omezeny jen na ty, které člověk přímo na server nahrál...)

    b) trošku mi přijde jako blbárna, že se zkouší REFERER i tajný kód skrytý ve formuláři...
    multicult.fm | monokultura je zlo | welcome refugees!

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.