Vlákno názorů k článku Man-in-the-browser aneb jak jsem si nechal infikovat prohlížeč od j - A ty snad naivne veris tomu, ze presne...
-
j (neregistrovaný)
A ty snad naivne veris tomu, ze presne totez nemuze v pristim patchi integrovat primo google, mozilla, ... kdokoli? Nebo ze tutez funcionalitu nema libovolna tvoje aplikace, ktera si bezi pekne na pozadi a kterou sis ty spokojene nainstaloval?
Chces byt v relativnim klidu? Nainstaluj system, nahod browser .... pul roku pockej, a pak to zacni pouzivat. Samozrejme zakaz veskere aktualizace.
-
Zrovna včera jsem náhodou narazil na ~10 let starou chybu ve Firefoxu s buffer overflow v IDN pomocí soft-hyphen nebo podobných znaků. Celkem určitě bych dohledal nějakou relevantní zranitelnost v nějaké 3rd party knihovně (tuším, že třeba nějaká grafická knihovna by se dala použít). Může se taky najít nějaká zranitelnost v implementaci TLS nebo *ehm* *ehm* SSL. Ne, zapnutý JS nepotřebuju. Mohlo by to s ním být jednodušší, ale ne až o tolik.
-
Považuješ všechny používané weby a sítě za důvěryhodné? To je dost odvážný předpoklad…
BTW, pokud se na nedůvěryhodné síti pokusíš otevřít třeba root.cz, tak do té stránky může útočník přidat libovolný kód nebo stránku libovolně modifikovat. Proto je podstatné se nepřipojit nikdy k žádné nedůvěryhodné síti, když máš děravý browser. (A já se snažím za nedůvěryhodnou považovat i domácí síť.)
PS: Pokud se jednou na chvilku připojíš k nějaké otevřené WiFi, uloží se a v blízkosti tvého notebooku můžu otevřít hotspot se stejným názvem a případně zarušit tvoje aktuální připojení.
PS2: Pokud máš nějaké slabší heslo, tak ho u WPA2-PSK můžu louskat offline :)
ČLÁNKY DO MAILU