Catalin Trandafir » Web Development http://www.ketlane.ro Fri, 05 Jun 2009 08:44:01 +0000 http://wordpress.org/?v=2.8.6 en hourly 1 Problema de securitate la Yahoo Mail http://www.ketlane.ro/problema-de-securitate-la-yahoo-mail.html http://www.ketlane.ro/problema-de-securitate-la-yahoo-mail.html#comments Wed, 12 Jul 2006 06:49:00 +0000 Catalin http://ketlane.ro/problema-de-securitate-la-yahoo-mail/ Acum cateva saptamani am descoperit o problema majora la Yahoo Mail (versiunea veche). Se pare ca serviciul nu e chiar sigur si se poate executa JavaScript in emailurile citite. Evident, pornind de la asta, poti ajunge departe.

In mana unui spammer, acest trick ar putea avea efecte extraordinare: redirect fara permisiune – iti citesti linistit emailul, vezi ce mai e prin Bulk si cand intri sa vezi cu ce te mai bombardeaza spammerii, esti automat redirectionat pe cine stie ce site(vanzari de licente, medicamente, droguri, sex pills sau poti ajunge chiar intr-un site plin de virusi).

Mai mult, o fotografie interesanta poate genera un chain letter – codul se trimite si este executat prin Forward. Ce poate face un spammer din acest “eveniment”? Well, poate afla multe multe adrese email valide, fara ca cei care dau forward sa afle vreodata ce i-a lovit: nu apare nimic pe ecran cand se fura adresa.

Si acum partea cea mai interesanta: am reusit intr-un final sa intru in alte conturi, in urma unui cod javascript executat fara voie in browserul celui care citeste emailul. Un chain letter pus bine la punct poate genera nu numai adrese valide email, ci si conturile in sine.

Prin urmare, orice email primit poate fi un “phishing email”, iar tu nu vei sti niciodata. Poate veni de la prietenul/prietena/sotia/mama/copilul/you name it. Nici macar el(cel care a trimis, fara sa vrea, mai departe “viermele”) nu va sti cand si cine te-a lovit.

Solutia imediata: am renuntat la Yahoo Mail pe loc.
Solutia pe termen mediu: se pare ca noul Yahoo Mail Beta nu este vulnerabil la acest exploit, asa ca eu am trecut imediat pe el. Te-as sfatui si pe tine sa faci cererea si sa il folosesti, daca vrei sa continui sa folosesti Yahoo Mail. Altfel, esti pe cont propriu :) .

Ce e si mai interesant, este ca am descoperit acest exploit acum doua saptamani cred, cei de la Yahoo au fost sesizati, insa problema nu a fost rezolvata nici pana in acest moment. Sper sa o rezolve pana nu e prea tarziu.

Nu dau mai multe detalii despre cum functioneaza din motive evidente: am scris acest post pentru a te avertiza, nu doresc ca exploit-ul sa fie implementat de cine nu trebuie.

]]> http://www.ketlane.ro/problema-de-securitate-la-yahoo-mail.html/feed 0 Web 3.0 – pas cu pas… http://www.ketlane.ro/web-30-pas-cu-pas.html http://www.ketlane.ro/web-30-pas-cu-pas.html#comments Thu, 25 May 2006 21:45:00 +0000 Catalin http://ketlane.ro/114862643260458851/ Am citit de curand un articol (multumesc Mihai) despre Web 3.0. In ultimul timp de fiecare data cand discut despre HTML in sine, apare ideea: HTML standardizat ( DIV-uri, liste etc. ) sau HTML clasic ( tabele, spacere etc. ). Multi interlocutori inca nu inteleg de ce am trece de pe tabele pe div-uri. Atunci incep eu ca o moara hodorogita si indrug toata teoria mea despre HTML curat, standardizat. Insa astazi am avut revelatia: e vorba despre Web 3.0 sau “semantic web”. Aceasta e directia. Intr-acolo ne indreptat. Asa cum acum 15 ani Internetul insemna Gopher, Telnet, E-Mail si niste documente stiintifice “ambalate” frumos intr-un HTML primitiv, iar acum nimeni n-a mai auzit de Gopher de exemplu, la fel peste 5-10 ani Web 1.0 va fi un concept uitat. E timpul sa avansam.

Web 2.0 e doar un pas intermediar, abia astept era Web 3.0! Pana atunci, insa, hai sa uitam de tabele.

]]> http://www.ketlane.ro/web-30-pas-cu-pas.html/feed 0