Vlákno názorů k článku TabNabbing krade přihlašovací údaje nepozorným od # - vida ho chlapce, prece jen k necemu je, utok...

vida ho chlapce, prece jen k necemu je, utok odrazen :)

Útok odražen, ale jen proto, že je příklad kvůli jednoduchosti psán na použití javascriptu. <b>Všechny komponenty</b> popisovaného útoku lze poměrně snadno realizovat i zcela bez skriptování. NoScript tedy nejenže nepomůže, ale dokonce uškodí, protože ukolébá uživatele ve falešném pocitu bezpečí (jak dokazujete vy i první odpovídající na vás).

jednoducha rada..vzdy nez se nekam budu prihlasovat zkouknu url..bohuzel jsou tu ale i lamy a tem pomuze leda to co jsem tu napsal ale za predpokladu ze by to bezelo v 8 ve zpravach na nove :)

Bohužel jde otevřít nové okno bez adresního řádku a běžný BFU adresu nemůže zkontrolovat. Vím že teď nemluvím o tabu ale o novém okně. Na druhé straně, co brání tomu otevřít v tabu správnou adresu a nad prohlížečem otevřít okno s falešným obsahem, které překryje původní obsah :-(

Hmm.. jak?
zjištění historie – bez problému.
ale měnění DOM? Tam si (kromě bugů v prohlížeči) nevím rady

Proč by měl útočník měnit DOM? Pro dosažení takřka stejného efektu mu stačí META HTTP-EQUIV=„refresh“ s rozumně dlouhou dobou do refreshe. Naopak to ještě bude mít výhodu, že browser změněnou stránku zvýrazní, protože se změnila – uživatele to ještě dál přesvědčí o tom, že byl prostě odhlášen po delší době nečinnosti…

Jediný problém je v tom že tento způsob refreshe nemá šanci ověřit že se uživateli stránka nepřesměruje do háje ve chvíli kdy na ni zrovna kouká.

Nestačilo by <meta http-equiv="refresh" content="34;url=http://example.com/falesny_facebook">?

Tento „refresh“ sa dá vo Firefoxe jednoducho zakázať. http://i5.photobucket.com/albums/y159/twilight7609/screenshot_1.jpg (tretie zaškrtávatko zhora).

Jasně.. Byli jste o 5 minut rychlejší než já…
NoScript se samozřejmě brání a vydal jeden z jeho nespočetných update. (-;

Ve článku je odkazován můj článek ukazující, jak detekovat historii i bez javascriptu a v každé verzi HTML.

to je hezky, ze mas patent na rozum …

https://addons.mozilla.org/en-US/firefox/addon/722/

v 1.9.9.81

+ Experimental blocking of page refreshes happening inside untrusted
unfocused tabs, should provide protection against Aviv Raff's scriptless
„tabnabbing“ variant. Enabled by default, can be controlled through the
noscript.forbid­BGRefresh about:config integer preference:
0 – no blocking
1 – block refreshes on untrusted unfocused tabs
2 – block refreshes on trusted unfocused tabs
3 – block refreshes on both trusted and untrusted unfocused tab
Address patterns matching pages which shouldn't be affected can be
listed in the noscript.forbid­BGRefresh.excep­tions preference