Vlákno názorů k článku
TabNabbing krade přihlašovací údaje nepozorným

vida ho chlapce, prece jen k necemu je, utok odrazen :)

Souhlas :))

Útok odražen, ale jen proto, že je příklad kvůli jednoduchosti psán na použití javascriptu. <b>Všechny komponenty</b> popisovaného útoku lze poměrně snadno realizovat i zcela bez skriptování. NoScript tedy nejenže nepomůže, ale dokonce uškodí, protože ukolébá uživatele ve falešném pocitu bezpečí (jak dokazujete vy i první odpovídající na vás).

jednoducha rada..vzdy nez se nekam budu prihlasovat zkouknu url..bohuzel jsou tu ale i lamy a tem pomuze leda to co jsem tu napsal ale za predpokladu ze by to bezelo v 8 ve zpravach na nove :)

Bohužel jde otevřít nové okno bez adresního řádku a běžný BFU adresu nemůže zkontrolovat. Vím že teď nemluvím o tabu ale o novém okně. Na druhé straně, co brání tomu otevřít v tabu správnou adresu a nad prohlížečem otevřít okno s falešným obsahem, které překryje původní obsah :-(

Hmm.. jak?
zjištění historie – bez problému.
ale měnění DOM? Tam si (kromě bugů v prohlížeči) nevím rady

Proč by měl útočník měnit DOM? Pro dosažení takřka stejného efektu mu stačí META HTTP-EQUIV=„refresh“ s rozumně dlouhou dobou do refreshe. Naopak to ještě bude mít výhodu, že browser změněnou stránku zvýrazní, protože se změnila – uživatele to ještě dál přesvědčí o tom, že byl prostě odhlášen po delší době nečinnosti…

Jediný problém je v tom že tento způsob refreshe nemá šanci ověřit že se uživateli stránka nepřesměruje do háje ve chvíli kdy na ni zrovna kouká.

Ano, to je pravda. Ale pokud bude refresh dostatečně dlouhý (hodina, dvě, …), má velkou pravděpodobnost, že si toho uživatel nevšimne

Nestačilo by <meta http-equiv="refresh" content="34;url=http://example.com/falesny_facebook">?

Tento „refresh“ sa dá vo Firefoxe jednoducho zakázať. http://i5.photobucket.com/albums/y159/twilight7609/screenshot_1.jpg (tretie zaškrtávatko zhora).

Jasně.. Byli jste o 5 minut rychlejší než já…
NoScript se samozřejmě brání a vydal jeden z jeho nespočetných update. (-;

Zjištění historie bez problému? To nejde ani s javascriptem, jde se jen v historii posouvat.
https://developer.mozilla.org/en/DOM/Manipulating_the_browser_history
Sakra, v HTML5 půjde javascriptem historii měnit (!!!). Někdo by jim měl vysvětlit, že je to bezpečnostní díra jak prase.

I když pokud se bude uživatel vždycky dívat na URL, tak to nevadí. To se ale čekat nedá, lidi se dají lehce poplést.

Ve článku je odkazován můj článek ukazující, jak detekovat historii i bez javascriptu a v každé verzi HTML.

Aha, jo, máš pravdu, zjistit o URL, jestli je v historii, jde requestem na obrázek z CSS. To mě nenapadlo. Není to ale úplně to samé jako kdyby si skript mohl vypsat URL v historii jak jdou za sebou – to by bylo horší; jde prostě (s JS i bez něj) zjistit, jestli mám konkrétní URL někde v historii, nebo ne.

to je hezky, ze mas patent na rozum …

https://addons.mozilla.org/en-US/firefox/addon/722/

v 1.9.9.81

+ Experimental blocking of page refreshes happening inside untrusted
unfocused tabs, should provide protection against Aviv Raff's scriptless
„tabnabbing“ variant. Enabled by default, can be controlled through the
noscript.forbid­BGRefresh about:config integer preference:
0 – no blocking
1 – block refreshes on untrusted unfocused tabs
2 – block refreshes on trusted unfocused tabs
3 – block refreshes on both trusted and untrusted unfocused tab
Address patterns matching pages which shouldn't be affected can be
listed in the noscript.forbid­BGRefresh.excep­tions preference

a funkce většiny stránek vyřazena…