Iboende nettleser­svakhet åpner for angrep mot brukernes lokalnett [Ekstra]

[Harald Brombach (digi.no)]

Iboende nettleser­svakhet åpner for angrep mot brukernes lokalnett [Ekstra]

[spiff42]

Nettlesere og websider har fått så mye funksjonalitet at det er en trussel mot sikkerheten. 

Hvorfor skal en hvilken som helst nettside ha tilgang til avansert funksjonalitet som WebRTC. Å klikke på en link er i ferd med å bli som å installere og kjøre en app i blinde. Problemet med det burde være åpenbart, men higet etter ny funksjonalitet virker å overdøve alle tanker om sikkerhet.

Endret 22. mars 2019 av spiff42

[l0mf0mgl0mbl0og]

Er ikke denne informasjonen samfunnskritisk, og burde iallefall inneholde linker til mere informasjon før betalingsmuren dukker opp... ?

De som ikke har råd eller mulighet til å abonnere på Ekstra vil da potensielt være åpne for angrep, men ikke ha tilgang til denne kritiske informasjonen...

[Harald Brombach (digi.no)]

Er ikke denne informasjonen samfunnskritisk, og burde iallefall inneholde linker til mere informasjon før betalingsmuren dukker opp... ?

De som ikke har råd eller mulighet til å abonnere på Ekstra vil da potensielt være åpne for angrep, men ikke ha tilgang til denne kritiske informasjonen...

 

Det er fullt mulig å bestille en måned gratis prøveabonnement dersom det kun er én eller noe få saker man ønsker å lese. https://www.digi.no/ekstra/bestill

[qualbeen]

Er ikke denne informasjonen samfunnskritisk, og burde iallefall inneholde linker til mere informasjon før betalingsmuren dukker opp... ?

De som ikke har råd eller mulighet til å abonnere på Ekstra vil da potensielt være åpne for angrep, men ikke ha tilgang til denne kritiske informasjonen...

 

På ingen måte samfunnskritisk. Her er det bare noen som skriker høyt, for å få oppmerksomhet. 

 

Det snakkes om en "iboende svakhet i nettleser". Altså.. svakhet og svakhet fru blom. 

Dersom et javascript ikke skal få lov til å kjøre XHR-kall mot et domene utenfor "same-origin", hvordan skal nettet se ut da? 

 - Skal vi ta det enda lenger, og forby all http(s)-trafikk som ikke tilhører domenet? 

La oss ta for oss digi-no. Hvordan ville det stått til med assets via CDN, annonser, analyse-script og mye mye mer, dersom absolutt alt måtte vært same-origin? Ville jo blitt ekstremt tungvindt å hoste alt selv – 75% av nettverkstrafikken mot egne servere, ville kanskje kun vært proxy-trafikk?  

 

Dersom det er en svakhet at nettlesere kan kjøre kall mot 127.0.0.1, 10.0.0.1, så lurer jeg på hvor mye annet som er svakhet også.

Se bare hvilket ekstremt stunt jeg kan gjøre her: evil link - DO NOT CLICK!

 

Jeg prøver ikke å motsi at det er teoretisk mulig å kjøre DoS-angrep mot en enhet i lokalnettet ditt. Dersom varmepumpa, robotstøvsuger, fjernsyn, printer eller what-ever er koblet rett på lokalnettet, er det såklart mulig å la et script kjøre noen kall mot den IP'n. Men fordi nettlesere nekter å tolke respons fra enheten (pga same origin policy) så er det komplett umulig å motta, herunder tolke, og dernest forstå hva som er korrekt IP å prøve seg på. Det enkleste er kanskje å gå for 10.0.0.1, 192.168.0.1 eller andre IP'er som routeren pleier å ligge på? En skikkelig dårlig router vil kanskje ta imot spørringer og utføre tungt arbeide? I så fall gjelder det bare å kjøre en loop, og fyre av nye kall kjappere enn routeren svarer. Vips, så har vi DoS'et routeren. Moaahahah! 

 

Samfunnskritisk? Næh. Aktører må bare sørge for å ikke la enhetene være vidåpne og svare på alt og alle av innkommende kall. 

Hva med å kreve autentisering (som alle routere gjør. Eksemplet mitt over, er sannsynligvis/forhåpentligvis dømt til å feile)