29-02-04

patching internet explorer is niet genoeg

Afgelopen weken werden we gewaarschuwd dat u moet upgraden naar internet explorer 6 en deze moet patchen. Nu blijkt dat dit niet voldoende is om u te kunnen beschermen tegen het onderscheppen van vertrouwelijke informatie die u denkt voor een juiste site in een formulier of via een link in een email te hebben ingevuld. Men dient immers steeds, ook indien u uw systemen gepatched hebt, te controleren of de naam van de website wel deze is die volledig overeenkomt met deze in uw internetbrowser. Dit kan nog gemakkelijker het geval zijn als dit formulier in een pop up zit.
 
Hier staat een proof of concept
 
http://www.idefense.com/application/poi/display?id=77&...
 
Het is niet mogelijk om register.jsp af te sluiten want er zijn zomaar eventjes 18.500 sites op het web die hier gebruik van maken.
 
Maar alle website owners kunnen voorkomen dat hun inschrijvingsformulieren in een frame van een andere operator worden gezet (die dan ook de gegeven verzamelt) door volgende kode te plaatsen op de pagina met hun formulier
 

Website administrators can prevent exploitation of this kind on their own site by ensuring that the site is not encapsulated within a frameset. The following snippet of JavaScript can be utilized to accomplish this:

    if (top != self)
    {
        top.location=self.location;
    }
En voor u een domme regel van drie
- klik nooit op links naar sites of formulieren
- ga altijd naar de site zelf door ze in te tikken
- hou altijd bij wat u gedaan hebt (save as, printscreen) 
EKZ

23:38 Gepost door technology changes fast not a lot | Permalink | Commentaren (0) |  Facebook |

De commentaren zijn gesloten.