Kontode vargustest
Mordos
Tsitaat: (http://www.erepublik.com/en/article/-slovenci-digli-pobunu-lupaj-zeleno--1138334/1/20)
We are warning all citizens to be careful about links to phishing sites that are similar to eRepublik and prompts you to leave there your login information, and thus evelminds steal your data!
Besides that, there are pages that without your knowledge and participation through cookies from browser steal your data! Links may appear on the chat, the ingame message or advertisements (ads).
Our former Minister Venax was hacked last night and had already sold q5 house which she had in inventory, and they immediately changed email. This was immediately reported to the admins and we are waiting for their reply.
Such actions are against the eRepublik Laws, specifically eRepublik Law # 4, which says:
"# 4 Properties obtained by a citizen through an illegal or Unjust method will be impounded. Such types of actions may result in a permanent ban. Additionally, if these properties are sold or transferred before being impounded, entities involved in these transactions can receive a permanent ban."
So do not click on any links in the messages of unknown people or on IRC and vote this article to top rated so more people see it and shout warning about this!
Comments
"Besides that, there are pages that without your knowledge and participation through cookies from browser steal your data! "
Naljamehed. Kuidas nad cookiedele ligi saavad huvitav? Ja mis kuradi datat nad sealt cookiedest varastada saaks üldse? Seal ei hoita ju mittemingisugust salajast infot.
Renkas, hoitakse küll 😃.. Cookieseid kasutatakse, et automaatselt log-inida lehtedel jne... auto-cap filling vms. Mis sa arvad miks HTTPS lehed eksisteerivad 😃?
Esiteks nothing is impossible
Teiseks, varastatakse paroole?
Miks https üldse kasutusel on?
@Joonasp - too palun üks näide milline info erepubliku cookiedest on varastamist väärt?
Ja siis palun too mulle üks võimalus kuidas sa üldse selle info sealt kätte saad.
Ainuke võimalus selleks on kui kasutad mingit suurte turvaaukudega brauserit - aga see on juba kasutaja enda probleem. Samas isegi kui on nii, et kasutusel on brauser mis on aasta aega lappimata siis erepubliku küpsises ei ole ikkagi mittemingit infot millega midagi peale hakata.
Kusjuures su enne kirjutadud "auto-login" info ei ole mitte midagi väärt. Kui pahatahtlik isik sinuga sama IP taha ei satu. Või no ma tõesti loodan, et eRepubliku progejatel selline elementaarne turvanõue täidetud on - hetkel ei viitsi katsetama hakata.
Täiendasin postitust - kustutasin vana ära.
Ja ära loobi märksõnu mille tähendust sa ei tea. Https on turvalise ühenduse loomiseks serveri ja kliendi vahel - seda siis selleks, et elimineerida "man in the middle" rünnakud.
Ma tõsiselt kahtlen kas keegi viitsib füüsiliselt kuidagi kliendi ja serverivahelisse routingusse ennast vahele sokutada. Ja sellisel juhul ei ole ülaltoodud hoiatustest nagunii mittemidagi kasu.
"Besides that, there are pages that without your knowledge and..."
Täiesti selgelt väljaloetav, et tegu ei ole erepubliku leheküljega.
@Joonasp - mida sealt välja on lugeda?
Väidad, et suvaline veebileht saab erepubliku küpsiseid lugeda? Ja, et seal on olulist infot mida võib kurjasti ära kasutada?
Sellisel juhul too mõni näide - milline see oluline info seal on ja kuidas seda lugeda saab sealt küpsisest üldse?
Kui sa natukenegi veebindust mõikaksid siis teaksid, et küpsiseid saab lugeda ainult sellelt domeenilt mis need väljastas.
Jah tõesti vahel on brauserites erinevad turvaaugud - aga kas hetkel on mõni selline aktiivne turvaauk? Ma pole juba ammu kuulnud ühstki august mis seda võimaldaks.
Ja põhipoint on ikkagi selles, et erepubliku küpsistes ei ole tundliku informatsiooni.
Aga kas mitte ei saa veebi kodeerida nii, et küpsised aimaksid, et tegu on teise lehega? olen sellest kuulnud kuskilt.
Joonasp - ei kui tegu ei ole brauseri turvaauguga. Ja brauseri turvaaugud lapitakse suhteliselt kiiresti kui need avastatakse.
Ja ikkagi isegi kui need küpsised kätte saada siis mis edasi? Millise infoga sealt saab kurja teha?
autologin? küpsised hoiavad ju seda infot. kui nendega hästi manipuleerida, siis on teoreetiliselt on võimalik võõra küpsisega võõrasse kontosse sisse logida - rõhutan veelkord teoreetiliselt.
PS! Renkas trüki googlisse cookie steal, saad teada, et tegelikult on nende varastamine suhteliselt kerge!
@minasiin - Too mõni näide toimivast küpsisevarguse - õigemini cross site scripting lahendusest. Minuteada lapitakse normaalsetes brauserites need augud kiirelt ära. Googles toodud näited olid 3-8 aastat vanad ja ammugi ei toimi.
Lisaks kui ka see sessiooni ID/autologini ID kätte saada siis mis edasi? Küpsisesse seda salvestada ei ole mittemingi probleem aga kuidas serveripoolsest kontrollist jagu saada?
@ renkas
1) XSS rünnakud toimivad siinai. http://www.cs.ut.ee/~mroos/turve/2008/referaadid/Kaarel_Hanson_cve20067192.pdf" target="_blank">http://www.cs.ut.ee/~mroos/turve/2008/re[..]2.pdf - 2009 aasta referaat.
2) kus on öeldud, kui uus/vana brauser oli rünnaku ohvril
3) sinu väide, et cookisid EI SAA varastada, on übmer lükatud
4) sinu väide, et nendes ei OLULIST INFOT, on ümber lükatud
5) cookie varguses ei saa süüdistada ainult brauserit, piisab ka sellest kui on kehvalt üles ehitatud veeb. link: http://milw0rm.com/search.php" target="_blank">http://milw0rm.com/search.php - otsingusse "steal" - siit saad juba ise edasi uurida.
6) on olemas cookie editorid, kus saab vahetada MD5 krüpteeringuga
paroole ja kasutaid - oledki möödas serveri poolsest kontrollist, kuna sul on legaalne küpsis võõra infoga.
punktid on suhteliselt segamini, kuid mõte jääb igal juhul samaks.
point on rohkem selles, et never say never.
@minasiin
Punkt 1. Seal ju kirjas: "Selle turvaaugu paranduseks väljastas Microsoft turvaparanduse MS07-040".
Punktid 2 ja 3 - nii ja naa. Tõesti on võimalik küpsiseid varastada kui kasutusel on turvaauke täis brauser. See aga on juba kasutaja poolne hooletus.
Kuidas punkt 4 on ümber lükatud?
Punkt 5 - kuidas see erepublikuga seotud on?
Punkt 6 on naerukoht. Küpsist võid kasõvi ise failisüsteemis mudida kui soovi on. Ning keegi ei pane sul küpsisesse parooli kirja.
Tõesti never say never - aga konto vargust ja küpsiseid seostada? Paluks täpsemat infot siiski. Krt uudishimu on tappev - katsetan kohe kas tõesti pole erepublikul serveripoolset IP/useragent vmt kontrolli.
Nii - testisin üle. Ei saa sessiooni üle võtta teise IP tagant. Nii, et mida hullu saab antud sessiooni infoga siiski teha?
tunnistan oma rumalust antud teemas - võtsin sõna kohas, kus oleks pidanud olema kuss, kuid samas, sain jälle nati targemaks.
kui nüüd jätta tõesti emotsioonid kõrvale, siis pigem panustaks phising teemale, või erepi enda suurele turvaaugule, millest siin hiljuti räägiti - kus artiklites "tühjad" lingit saatsid korda pahategusid. lihtsalt nüüd oli soodne aeg sealt hangitud infot kasutada.
Phishing on muidugi probleemiks ja seda mitte ainult eRepublikus. Aga see asjatu hirm küpsistes oleva info üle on mulle lihtsalt niivõrd vastukarva, et pidin sõna võtma.
Juhul kui tõesti küpsistes oleks oluline info ja nendega saaks miskit jama korraldada - näiteks sessioone üle võtta - siis poleks ju phishingut vaja korraldada. Ja põhimõtteliselt võiks õelda, et terve teadaolev internet oleks põlvili.
See muidugi ei välista, et laisk veebimeister või kehva arhitektuur mõnes kohas niivõrd lihtsat sessiooni ülevõtmist ei lubaks - aga see on pigem erand kui reegel.
Renkas sessiooni saab isegi panga oma yle votta kui asud samas kohtvorgus kust sessioon alustati. Selleks on vaja natukene teadmisi ja vastavat tarkvara.
@EstMX Enterprise - sellest kirjutasin juba varem.
Aga ma tahaks näha milline neist mustmiljonist mängijast siin on minuga samas kohtvõrgus?
Ja seal ei ole vaja suuri teadmiseid isegi.