Wiedza serwerów www o Twoim komputerze
31 Marzec 2007
Przypadkiem natrafiłem na stronę, która pokazała mi mój adres IP, wraz z nazwą hosta i danymi przeglądarki z jakiej korzystam. Nie zaskoczyło mnie, że zapytanie o user-browser zwraca dużo danych, zaskoczyło mnie – jak to jest dużo!
Oto co zobaczyłem:
Browser: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506; Tablet PC 2.0; InfoPath.2; .NET CLR 1.1.4322)
Po kolei: korzystam z IE7, na Windows Vista z zainstalowanymi .Net Framework w wersjach: 1.1, 2.0, 3.0, mam Media Center 5.0 (składnik Vista Ultimate), mój komputer to Tablet PC i mam zainstalowany InfoPath. To bardzo dużo danych i bardzo dużo niebezpiecznych danych. Oczami wyobraźni widzę strony www, które dostosowywują zagrożenia dla komputerów swoich gości na podstawie tego co można wyczytać z user-browser.
Przekonajcie się sami, co serwery www wiedzą o Waszych przeglądarkach i systemach.
31 Marzec 2007 at 13:52
Ha. Ale to dziala tylko pod IE. Na operze już tylu danych nie wycisną. Browser: Opera/9.20 (Windows NT 5.1; U; pl) oto co mi sie wyświetliło.
31 Marzec 2007 at 14:02
Opera/9.10 (Windows NT 5.1; U; pl)
Największy bug to fakt prezentacji przez IE tych wszystkich, jakże zbędnych „zwykłej” stronie WWW do działania informacji… Gdyby chociaż prezentacja tych informacji zależała od strefy bezpieczeństwa (intranet/zaufane/internet)… Radą na to jest pogrzebać w rejestrze albo politykach grup.
31 Marzec 2007 at 14:22
Dokladnie, Mozilla i Opera nie wiedza co to .NET framweork
31 Marzec 2007 at 16:14
User-agent switcher rządzi
Nawiasem widuję user-agenty w rodzaju „my jesteśmy krasnoludki, hopsa sa!”. To jest dopiero wyciek informacji
31 Marzec 2007 at 17:00
Firewall Test & security audit
View HTTP Request and Response Header
Polecam szczególnie ten pierwszy test.
1 Kwiecień 2007 at 12:26
Zapytanie o „user-browser”? Co to takiego?
Toz to wszystko jest przesylane jako czesc zapytania HTTP, i tylko IE jest taki gadatliwy i chwali sie absolutnie kazdym wodotryskiem. Wejdz sobie do rejestru i ustaw user-agent na jaki Ci sie podoba
Przesylane jest znacznie wiecej ciekawych informacji.
Prosty test: zrob sobie dokument PHP ze zwyklym jako kod i odwiedz go na swoim serwerze. Zobaczysz co mozna wyciagnac ze zwyklego zapytania.
1 Kwiecień 2007 at 21:47
I co w tym niebezpiecznego? Jak zdradzenie tych danych jest z Twojego punktu widzenia niebezpieczne to faktycznie masz coś nie tak.
BTW z przeglądarki można wydobyć o wiele więcej informacji jeżeli ma włączoną obsługę (a większość ma) JavaScript czy Flash.
1 Kwiecień 2007 at 22:57
@kosmosiki: w przypadku IE to jest niebezpieczne, bo IE chwali sie nie tylko dodatkami ale tez ich dokladnymi wersjami, co w polaczeniu z problemami bezpieczenstwa mozliwymi do wykorzystania z poziomu przegladarki daje ogromne pole do popisu w przypadku nie zadbanych systemow.
3 Kwiecień 2007 at 00:24
Nawet jak ukryjesz informacje, że Twoja wersja systemu/przeglądarki/czegokolwiem jest podatna na atak to sam fakt ukrycia tego nie powoduje, że problem znika.
Przykład: jeżeli atakujący liczy na atak z wykorzystaniem jakiejś konktetnej luki to po prostu go przeprowadzi, nie będzie sprawdzał wpierw czy on zadziała (bo po co).
A MSIE można wykryć na szereg sposóboów w ogóle nie korzystając z przekazanego jawnie nagłowka User-Agent – np. ładując jakieś idiotyczne typowe dla MSIE style CSS i patrząc czy „przeglądarka” pobrała dany plik.
Chociażby coś takiego:
* html body {background: url(‘http://russian-mafia.org/isie?’); }
11 Maj 2007 at 14:15
[...] Pisałem kiedyś o tym jak moja przeglądarka przedstawia się serwerom WWW (wide: Wiedza serwerów www o Twoim komputerze). Ale nie napisałem, że można to zmienić (co niektórzy już wiedzą) i dlaczego czasami nie warto tego robić. Zrobił to natomiast CC Hameed na blogu Ask the Performance Team. CC Hameed jest inżynierem pomocy technicznej w teksańskim oddziale Microsoft. [...]