---

Hejsa

Er der risiko forbundet ved at lade interne brugere benytte subj. ?

Jeg kunne forestille mig at der benyttes bl.a UDP


Hilsen
Allan

---

"Allan" <allan@allan.net> wrote in message
news:01c0cd7d$42e98460$012811ac@wnt03305...
> Hejsa
>
> Er der risiko forbundet ved at lade interne brugere benytte subj. ?
>
> Jeg kunne forestille mig at der benyttes bl.a UDP

Hej Allan,

Du bør overveje præcist hvor vigtigt det er at tillade denne service og veje
det op mod de risici som er forbundet hermed.

Der er flere sikkerhedsmæssige problemstillinger forbundet med Microsoft
Messenger - enkelte er lokale, men nogen er også remote. Du kan f.eks. prøve
følgende (er dog, så vidt jeg ved, kun mulig at udnytte lokalt) - jeg ved
heller ikke om denne fejl er rettet, men forsøg-

Start IE og vælg tools på rullemenuen. Herfra vælges "Hotmail Inbox". Dette
vil åbne et nyt vindue som tager kontakt til Hotmail.

Tryk på stop i det nye vindue umiddelbart efter at det er startet op og så
kig i sidens HTML source (view - source). Det vil måske se nogenlunde sådan
her ud:

<noscript> <meta http-equiv=Refresh content="0;url=http://www.hotmail.com">
</noscript> <form name="pform"
action="http://www.hotmail.com/cgi-bin/dologin" method="POST"> <input
type="hidden" name="login" value="xxxxx"> <input type="hidden" name="passwd"
value="xxxxx"> <input type="hidden" name="rru" value="/cgi-bin/HoTMaiL">
<input type="hidden" name="js" value="yes">

Passwordet bliver sendt via Messenger til websiden således at brugeren
automatisk bliver logget ind. Det forudsætter forøvrigt at brugeren har
valgt at gemme login oplysningerne. Jeg mener det er valgt som standard.

Der er udover denne fejl andre, som er mere alvorlige - og kan exploites
remotely hvis systemet ikke er opdateret/vedligeholdt, men sådan er det vel
med de fleste services.

Venligst
Peter Kruse

---

Peter Kruse ytrede sig i <gHQF6.19$Vk.19898@news101.telia.com> med
dette:

>"Allan" <allan@allan.net> wrote in message
>news:01c0cd7d$42e98460$012811ac@wnt03305...
>> Hejsa
>>
>> Er der risiko forbundet ved at lade interne brugere benytte subj. ?
>>
>> Jeg kunne forestille mig at der benyttes bl.a UDP
>
>Hej Allan,
>
>Du bør overveje præcist hvor vigtigt det er at tillade denne service og veje
>det op mod de risici som er forbundet hermed.
>
>Der er flere sikkerhedsmæssige problemstillinger forbundet med Microsoft
>Messenger - enkelte er lokale, men nogen er også remote. Du kan f.eks. prøve
>følgende (er dog, så vidt jeg ved, kun mulig at udnytte lokalt) - jeg ved
>heller ikke om denne fejl er rettet, men forsøg-
>
>Start IE og vælg tools på rullemenuen. Herfra vælges "Hotmail Inbox". Dette
>vil åbne et nyt vindue som tager kontakt til Hotmail.
[snip]
>Passwordet bliver sendt via Messenger til websiden således at brugeren
>automatisk bliver logget ind. Det forudsætter forøvrigt at brugeren har
>valgt at gemme login oplysningerne. Jeg mener det er valgt som standard.

Man bliver spurgt om man ønsker at PW bliver gemt, første gang man
benytter MS Messenger. Det er også muligt at anvende en andet
mail-identity end en Hotmail konto, derved forsvinder muligheden for den
hotmail-exploit.

>Der er udover denne fejl andre, som er mere alvorlige - og kan exploites
>remotely hvis systemet ikke er opdateret/vedligeholdt, men sådan er det vel
>med de fleste services.

Yep, jeg vil ikke betragte Messenger som mindre sikkert end andre
chat-klienter af typen der kræver installation.
--
Mvh
Bibliotekar D.B./Stud. Sci. Bibl.
Allan Stig Kiilerich Frederiksen