---

Jeg har overvejet lidt, om der er en eller anden smart måde man kan
fiske folks LAN Manager password hash på ?

I "gamle" dage kunne man bare lave en website der krævede NTLM
authentication, og straks afsendte klientPC'en sit krypterede
password.

Kan man gøre noget tilsvarende i dag ? F.eks. påstå at
ens website er en Proxy server ? Eller henvise til til
en file:// URL ? Eller er det hele i dag begrænset til
hvad MS kalder for sikre zoner ?

Jeg går ud fra, at et lokalnet er en sikker zone ? Og at
man kan sende file://maskine/share/x.jpg links til sine kolleger,
og så få deres password hash ved at sende dem mails ?

Altså kort spurgt: Hvordan sikrer man sig, at en brugers
PC kun sender passwordhash til få særligt betroede maskiner,
og ikke fra en HTML side til hvad som helst ?

--
Povl H. Pedersen - ALF#2 - D-482 - nospam@home.terminal.dk
Return e-mail is a spam tarpit.
Use 2 letters from first+last name to form username@[127.0.0.1]

---

Povl H. Pedersen wrote:
> I "gamle" dage kunne man bare lave en website der krævede NTLM
> authentication, og straks afsendte klientPC'en sit krypterede
> password.

Gad vide om folk nu blot taster deres domain brugernavn og password. :)

> Kan man gøre noget tilsvarende i dag ? F.eks. påstå at
> ens website er en Proxy server ? Eller henvise til til
> en file:// URL ? Eller er det hele i dag begrænset til
> hvad MS kalder for sikre zoner ?

Der har været mange huller i de "sikre zoner", bla. er 012012012012 lig
med 80.40.20.10. Og 012012012012 blev betragtet som en URL til et
intranet fordi der ikke er "." i URL'en.

> Jeg går ud fra, at et lokalnet er en sikker zone ? Og at
> man kan sende file://maskine/share/x.jpg links til sine kolleger,
> og så få deres password hash ved at sende dem mails ?

Ja, men det får man ikke via HTTP, men via en samba server.

> Altså kort spurgt: Hvordan sikrer man sig, at en brugers
> PC kun sender passwordhash til få særligt betroede maskiner,
> og ikke fra en HTML side til hvad som helst ?

Man kan fx bruge en firewall der sørger for RFC'erne for HTTP bliver
overholdt, fx en Raptor Firewall.

Ovenstående kræver dog en segmentering.

I forbindelse med windows 2000, har jeg stødt på en del webservere der
har modtaget IPSec pakker fra Internet Explorer klienter, er der nogle
der kende til dette?

---

On Mon, 20 May 2002 14:19:16 +0200,
Christian E. Lysel <chlyshoswmdatapunktumcom@example.net> wrote:
> Povl H. Pedersen wrote:
>> I "gamle" dage kunne man bare lave en website der krævede NTLM
>> authentication, og straks afsendte klientPC'en sit krypterede
>> password.
>
> Gad vide om folk nu blot taster deres domain brugernavn og password. :)

Der er nogle IE versioner der sender dit username / password hash
uden du spørges. Det skulle gøre det lettere for brugeren at tilgå
passwordbeskyttede websites.

>> Kan man gøre noget tilsvarende i dag ? F.eks. påstå at
>> ens website er en Proxy server ? Eller henvise til til
>> en file:// URL ? Eller er det hele i dag begrænset til
>> hvad MS kalder for sikre zoner ?
>
> Der har været mange huller i de "sikre zoner", bla. er 012012012012 lig
> med 80.40.20.10. Og 012012012012 blev betragtet som en URL til et
> intranet fordi der ikke er "." i URL'en.

Jeg er interesseret i, om der der noget der ikke regnes som et
hul. Men en "feature" i Windows.

>> Jeg går ud fra, at et lokalnet er en sikker zone ? Og at
>> man kan sende file://maskine/share/x.jpg links til sine kolleger,
>> og så få deres password hash ved at sende dem mails ?
>
> Ja, men det får man ikke via HTTP, men via en samba server.

Men det er også helt OK for mig. Vil denne altid virke hvis man
er inde på lokalnettet ? F.eks. via wireless ?

>> Altså kort spurgt: Hvordan sikrer man sig, at en brugers
>> PC kun sender passwordhash til få særligt betroede maskiner,
>> og ikke fra en HTML side til hvad som helst ?
>
> Man kan fx bruge en firewall der sørger for RFC'erne for HTTP bliver
> overholdt, fx en Raptor Firewall.

Men denne vil ikke løse problemet på et LAN.

--
Povl H. Pedersen - ALF#2 - D-482 - nospam@home.terminal.dk
Return e-mail is a spam tarpit.
Use 2 letters from first+last name to form username@[127.0.0.1]

---

Povl H. Pedersen wrote:
>>Gad vide om folk nu blot taster deres domain brugernavn og password. :)
> Der er nogle IE versioner der sender dit username / password hash
> uden du spørges. Det skulle gøre det lettere for brugeren at tilgå
> passwordbeskyttede websites.

Det ved jeg godt. Jeg prøvede blot at forstille mig, hvad der vil ske
når brugerne tilgår et Internet site, hvor webbrowseren vil prompte
brugeren for brugernavn/password.

>>Der har været mange huller i de "sikre zoner", bla. er 012012012012 lig
>>med 80.40.20.10. Og 012012012012 blev betragtet som en URL til et
>>intranet fordi der ikke er "." i URL'en.
>
>
> Jeg er interesseret i, om der der noget der ikke regnes som et
> hul. Men en "feature" i Windows.

En feature kunne være at sende en request til
http://localhost:2301/http://dit-web-site/ hvis du er heldig kører
brugeren med compaqs managment system, som kan udnyttes som en proxy.
Denne proxy vil IE betragte som en intranet-zone.

Jeg har dog ikke testet ovenstående, det er blot en indskydelse.

>>Ja, men det får man ikke via HTTP, men via en samba server.
> Men det er også helt OK for mig. Vil denne altid virke hvis man
> er inde på lokalnettet ? F.eks. via wireless ?

Det vil jeg mene.

>>Man kan fx bruge en firewall der sørger for RFC'erne for HTTP bliver
>>overholdt, fx en Raptor Firewall.
> Men denne vil ikke løse problemet på et LAN.

Hvis du deler dit LAN op i flere segmenter, vil problemet blive løst.

---

Povl H. Pedersen skrev:

> Der er nogle IE versioner der sender dit username / password hash
> uden du spørges. Det skulle gøre det lettere for brugeren at tilgå
> passwordbeskyttede websites.

Jeg kan ikke huske hvordan det var da jeg installerede IE 6, men man
kan i alt fald slå det til: Tools | Internet Options | fanebladet Ad-
vanced | Enable Integrated Windows Authentication.
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >