---

På http://www.anonymizer.com/ giver de en demonstration på hvordan
informationerne på ens clipboard uden videre kan aflæses af ethvert
website man går ind på, med den rigtige programmering.

Temmelig rystende, synes jeg, da jeg ofte bruger clipboardet til at
overføre passwords med f.eks. når jeg logger ind i netbank.

Er det virkelig rigtigt at det kan lade sig gøre, eller er det bare et
trick de laver med informationer internt på computeren?

Jeg bruger iøvrigt MSIE 5.5 med de seneste sikkerhedsopdateringer.

Cyborg

---

Cyborg wrote:
>
> På http://www.anonymizer.com/ giver de en demonstration på hvordan
> informationerne på ens clipboard uden videre kan aflæses af ethvert
> website man går ind på, med den rigtige programmering.

Det eksempel kunne jeg ikke finde. På forsiden prøvede
jeg at vælge "What data am I revealing right now?", og
efter en lang række advarsler kunne den kun vise nogle
mindre kritiske oplysninger som IP addresse, browser
version og hvilket OS jeg bruger.

>
> Temmelig rystende, synes jeg, da jeg ofte bruger clipboardet til at
> overføre passwords med f.eks. når jeg logger ind i netbank.

Har du skrevet passwordet til din netbank ned? Det er
da meget risikabelt. Men til mindre kritiske tilfælde
kan jeg da også finde på at bruge cut'n'paste til mine
passwords.

>
> Er det virkelig rigtigt at det kan lade sig gøre, eller er det bare et
> trick de laver med informationer internt på computeren?
>
> Jeg bruger iøvrigt MSIE 5.5 med de seneste sikkerhedsopdateringer.

Jeg bruger iøvrigt Netscape 4.7 på Linux 2.4.

>
> Cyborg

--
| | | | | | | | |
Kasper Dupont

---

On Tue, 25 Dec 2001 20:03:01 +0100, Kasper Dupont
<kasperd@daimi.au.dk> wrote:

>Cyborg wrote:
>>
>> På http://www.anonymizer.com/ giver de en demonstration på hvordan
>> informationerne på ens clipboard uden videre kan aflæses af ethvert
>> website man går ind på, med den rigtige programmering.
>
>Det eksempel kunne jeg ikke finde. På forsiden prøvede
>jeg at vælge "What data am I revealing right now?", og
>efter en lang række advarsler kunne den kun vise nogle
>mindre kritiske oplysninger som IP addresse, browser
>version og hvilket OS jeg bruger.
>

Nu ser det ud til at de har lavet om på deres sider siden sidst jeg
var der - men det er dog stadig nogenlunde det samme de viser.

Vælg "What data am I revealing right now?" fra drop-down boksen øverst
til venstre. Midt på siden er der en boks hvor du kan se hvad du har
på clipboardet (forudsat at du har noget, selvfølgelig),


>>
>> Temmelig rystende, synes jeg, da jeg ofte bruger clipboardet til at
>> overføre passwords med f.eks. når jeg logger ind i netbank.
>
>Har du skrevet passwordet til din netbank ned? Det er
>da meget risikabelt. Men til mindre kritiske tilfælde
>kan jeg da også finde på at bruge cut'n'paste til mine
>passwords.

Jeg har passwords, kreditkortoplysinger og lignende liggende krypteret
i et lille program der hedder ePassword Keeper. Når man klikker på
ikonen i trayet kommer en lille boks frem hvor man indtaster et
masterpassword, hvorefter programvinduet åbner med alle oplysninger
dekrypteret, så man let kan cut-n-paste dem herfra. Alt på disken
forbliver krypteret - det er kun i programvinduet det er tilgængeligt
ukrypteret (og vel formodentilg i RAM et eller andet sted, men der kan
man jo så blot sætte Windows til at wipe swapfil/pagefil ved
nedlukning, for at fjerne evt. spor der). Programmet kan hentes her,
hvis nogen er interesseret: http://www.edisys.com/

>>
>> Er det virkelig rigtigt at det kan lade sig gøre, eller er det bare et
>> trick de laver med informationer internt på computeren?
>>
>> Jeg bruger iøvrigt MSIE 5.5 med de seneste sikkerhedsopdateringer.
>
>Jeg bruger iøvrigt Netscape 4.7 på Linux 2.4.

Det gør muligvis en forskel m.h.t clipboarddata, det skal jeg ikke
kunne sige.


--
Cyborg

---

Cyborg wrote:
>
> Vælg "What data am I revealing right now?" fra drop-down boksen øverst
> til venstre. Midt på siden er der en boks hvor du kan se hvad du har
> på clipboardet (forudsat at du har noget, selvfølgelig),

Jeg har kigget på den side, og indholdet af mit clipboard findes
ikke noget sted på den side.

>
> Jeg har passwords, kreditkortoplysinger og lignende liggende krypteret
> i et lille program der hedder ePassword Keeper. Når man klikker på
> ikonen i trayet kommer en lille boks frem hvor man indtaster et
> masterpassword, hvorefter programvinduet åbner med alle oplysninger
> dekrypteret, så man let kan cut-n-paste dem herfra. Alt på disken
> forbliver krypteret - det er kun i programvinduet det er tilgængeligt
> ukrypteret (og vel formodentilg i RAM et eller andet sted, men der kan
> man jo så blot sætte Windows til at wipe swapfil/pagefil ved
> nedlukning, for at fjerne evt. spor der). Programmet kan hentes her,
> hvis nogen er interesseret: http://www.edisys.com/

Det lyder fornuftigt nok, men andre systemer kan faktisk låse
data i RAM for at forhindre nøgler og kodeord i at blive
skrevet til swap.

> >>
> >> Jeg bruger iøvrigt MSIE 5.5 med de seneste sikkerhedsopdateringer.
> >
> >Jeg bruger iøvrigt Netscape 4.7 på Linux 2.4.
>
> Det gør muligvis en forskel m.h.t clipboarddata, det skal jeg ikke
> kunne sige.

Der er nok tale om et sikkerhedshul der kun findes i ie og ikke
i netscape.

--
Kasper Dupont

Notice: By sending SPAM (UCE/BCE) to this address, you are
accepting and agreeing to our charging a $1000 fee, per
email, for handling and processing, and you agree to pay any
and all costs for collecting this fee.

---

Kasper Dupont wrote:

>> Det gør muligvis en forskel m.h.t clipboarddata, det skal jeg ikke
>> kunne sige.
>
> Der er nok tale om et sikkerhedshul der kun findes i ie og ikke
> i netscape.

Det er ganske korrekt, selvom nogen måske mener det er en "feature" og
ikke en fejl i IE. Funktionen der anvendes hedder
document.execCommand("paste"); og den virker (men kun i IE under Win).

Selvfølgelig er det - som alt andet JavaScript - kun en lokal funktion
der kaldes, men jeg kan ikke se noget i vejen for at man skulle kunne
skrive et stykke kode der ved hjælp af document.write og
document.location kan sende informationerne videre til en anden side og
derved gøre dem brugbare for serveren.

Min umiddelbare konklusion er derfor: Hvis du anveder IE med JavaScript
slået til, så lad være med at opbevare følsome informationer i
udklipsholderen.

--
Niels Callesøe - nørd light
http://www.pcpower.dk/disclaimer.php
pfy[at]nntp.dk

---

Cyborg wrote:

>
> På http://www.anonymizer.com/ giver de en demonstration på hvordan
> informationerne på ens clipboard uden videre kan aflæses af ethvert
> website man går ind på, med den rigtige programmering.


Det eksempel de har lavet er ikke særlig godt.

De oplysninger du ser på din skærm er ikke oplysninger de kan se på
deres server.


> Temmelig rystende, synes jeg, da jeg ofte bruger clipboardet til at
> overføre passwords med f.eks. når jeg logger ind i netbank.


Det er Javascript, der kører på din lokale maskine, som i dette tilfælde
ikke udgører nogen trussel.


> Er det virkelig rigtigt at det kan lade sig gøre, eller er det bare et
> trick de laver med informationer internt på computeren?


Problemet er blot at de kan bruge din lokale browser til at linke til
webserveren, linket kan indeholde de data der ligger lokalt i browseren,
og dermed kopieres informationen over til webserveren og er ikke
længere kun lokalt på din komputer.

På http://www.anonymizer.com/ er det ikke tilfældet.


> Jeg bruger iøvrigt MSIE 5.5 med de seneste sikkerhedsopdateringer.


Men du har alt slået til!

Hvis du havde slået Javascript (og alt det andet) fra ville du ikke have
disse problemmer/features/bugs.

Endvidere har jeg sat min egen proxy server op til at skjule disse
oplysninger, således går mange webservere ned når jeg besøger dem *suk*.

---

On Tue, 25 Dec 2001 21:00:15 +0100, "Christian E. Lysel"
<chlyshoswmdatapunktumcom@example.net> wrote:

>Cyborg wrote:
>
>>
>> På http://www.anonymizer.com/ giver de en demonstration på hvordan
>> informationerne på ens clipboard uden videre kan aflæses af ethvert
>> website man går ind på, med den rigtige programmering.
>
>
>Det eksempel de har lavet er ikke særlig godt.
>
>De oplysninger du ser på din skærm er ikke oplysninger de kan se på
>deres server.
>

Nej det har jeg også svært ved at tro, når det gælder clipboarddata,
som jo er særdeles private oplysninger, Ellers ville der jo være et
sikkerhedshul af uanede dimensioner i MSIE. Men jeg synes det er det
indtryk man får ud fra det de skriver. Hvis det er forkert så er det
efter min mening vildledende markedsføring. Og så kan man jo fundere
lidt over hvor seriøs resten af deres service er.

>> Er det virkelig rigtigt at det kan lade sig gøre, eller er det bare et
>> trick de laver med informationer internt på computeren?
>
>
>Problemet er blot at de kan bruge din lokale browser til at linke til
>webserveren, linket kan indeholde de data der ligger lokalt i browseren,
> og dermed kopieres informationen over til webserveren og er ikke
>længere kun lokalt på din komputer.
>

Men er det rent faktisk muligt for folk udefra at få fat i data på
klipboardet ad den vej?

>På http://www.anonymizer.com/ er det ikke tilfældet.

Du mener hvis man surfer via deres server?

>
>> Jeg bruger iøvrigt MSIE 5.5 med de seneste sikkerhedsopdateringer.
>
>
>Men du har alt slået til!
>
>Hvis du havde slået Javascript (og alt det andet) fra ville du ikke have
>disse problemmer/features/bugs.

Nej, men snart sagt alle sites bruger Java idag så det er man jo
næsten nødt til hvis man vil have det hele med.

>
>Endvidere har jeg sat min egen proxy server op til at skjule disse
>oplysninger, således går mange webservere ned når jeg besøger dem *suk*.

Det er vel ikke webserverne der går ned, men dit system/ browser,
formoder jeg? Ellers er du jo farlig for dine omgivelser :)

--
Cyborg

---

Cyborg <cyborg@webhiker.dk> writes:

> Nej, men snart sagt alle sites bruger Java idag så det er man jo
> næsten nødt til hvis man vil have det hele med.

Bemærk forskellen på Java og Javascript, det er ikke det samme.

--
Christoffer Olsen
** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** **
"How to Remove Linux and Install Windows 2000 or Windows NT":
http://support.microsoft.com/support/kb/articles/q247/8/04.asp

---

Cyborg wrote:

>>Det eksempel de har lavet er ikke særlig godt.
>>De oplysninger du ser på din skærm er ikke oplysninger de kan se på
>>deres server.

> Nej det har jeg også svært ved at tro, når det gælder clipboarddata,
> som jo er særdeles private oplysninger, Ellers ville der jo være et
> sikkerhedshul af uanede dimensioner i MSIE. Men jeg synes det er det


Det er et sikkerhedshul, læs længere nede.

> indtryk man får ud fra det de skriver. Hvis det er forkert så er det
> efter min mening vildledende markedsføring. Og så kan man jo fundere
> lidt over hvor seriøs resten af deres service er.


>>>Er det virkelig rigtigt at det kan lade sig gøre, eller er det bare et
>>>trick de laver med informationer internt på computeren?
>>Problemet er blot at de kan bruge din lokale browser til at linke til
>>webserveren, linket kan indeholde de data der ligger lokalt i browseren,
>> og dermed kopieres informationen over til webserveren og er ikke
>>længere kun lokalt på din komputer.
> Men er det rent faktisk muligt for folk udefra at få fat i data på
> klipboardet ad den vej?


Ja

>>På http://www.anonymizer.com/ er det ikke tilfældet.
> Du mener hvis man surfer via deres server?


Det jeg mener er at i det konkrete tilfælde hvor anonymizer viser alle
svaghederne, sender din browser ikke data'erne til anonymizer, _men_ det
er _meget_ nemt at rette i scriptet så din browser uden af spørge dig
sende oplysningerne.

Hvis du surfer igennem deres server, vil du stole på anonymizer?

>>>Jeg bruger iøvrigt MSIE 5.5 med de seneste sikkerhedsopdateringer.
>>Men du har alt slået til!
>>Hvis du havde slået Javascript (og alt det andet) fra ville du ikke have
>>disse problemmer/features/bugs.

> Nej, men snart sagt alle sites bruger Java idag så det er man jo
> næsten nødt til hvis man vil have det hele med.


De flest sites bruger Javascript.

Endvidere kan du sætte din browser til at spørge dig!

>>Endvidere har jeg sat min egen proxy server op til at skjule disse
>>oplysninger, således går mange webservere ned når jeg besøger dem *suk*.
> Det er vel ikke webserverne der går ned, men dit system/ browser,
> formoder jeg? Ellers er du jo farlig for dine omgivelser :)


Nix, det er webservere det kører et asp script, der tester hvilken
browser jeg har, således at de kan sende html koder designet til den
enkelte browser. Dog er meget program logik afhændig af men kører en
rigtig broser version og ikke "Dette er en lang tekst/3.14159265359
(DOS4.1; 8-bit)" og vil således gå ned.

Men om det er mig der er farlig for mine opgivelser, er det ikke
programørene der ikke tænker sig om?

---

"Christian E. Lysel" wrote:
>
> Nix, det er webservere det kører et asp script, der tester hvilken
> browser jeg har, således at de kan sende html koder designet til den
> enkelte browser. Dog er meget program logik afhændig af men kører en
> rigtig broser version og ikke "Dette er en lang tekst/3.14159265359
> (DOS4.1; 8-bit)" og vil således gå ned.
>
> Men om det er mig der er farlig for mine opgivelser, er det ikke
> programørene der ikke tænker sig om?

Hvis et program går ned under en kommunikation, er det per
definition programets egen fejl. At modpartens fejl kan
være medvirkende, er så en anden sag. Et program må gerne
nægte at tale med en modpart, der ikke overholder protokolen,
men det må ikke gå ned.

I ovenstående tilfælde lyder det som om, serveren går ned
på en legal request. I så fald er det en elendig server. Men
er du helt sikker på, at serveren går ned, og at det ikke
bare er dig, den ikke vil svare.

--
Kasper Dupont

Notice: By sending SPAM (UCE/BCE) to this address, you are
accepting and agreeing to our charging a $1000 fee, per
email, for handling and processing, and you agree to pay any
and all costs for collecting this fee.