Tarayıcı geçmişi açık verebiliyor

Bir araştırmacı web tarayıcısı üzerinden kişisel bilgi çalmanın akıl almaz bir yöntemini açıkladı.

Kurnaz yöntemle hızlı hack

Kurnaz yöntemle hızlı hack
İnternet tarayıcıda güvenli ve güvensiz siteleri bir arada açmayın

Kaba gücün işlemesi için de sadece önemli siteleri seçerek iş yükünü azaltır ve metodun pratik olmasını sağlar. Örneğin eBay'i veya Gmail'i seçerek hangi sitenin o kullanıcıda kupon bıraktığını öğrenir.

Kuponları kullanarak da internet tarayıcıda o siteden her türlü işlemi yapabilir. Üstelik bu işlemler gayet kitabına uygun gözükerek gerçekleştiği için ne firewall ne başka güvenlik önlemleri bunu durdurur.

Peki nasıl önlem alınabilir? 16 tabanlı kuponda beş karakterlik bir kupon 393.216 istek oluşturuyor ve 2 dakikadan az sürede kırılabiliyor. İşte bu yüzden sitelerdeki kuponların acilen en az sekiz karakter yapılması gerekiyor. Bu da günümüzün işlemci gücüyle ve bulut bilgi işlem imkanlarıyla pek anlam ifade etmiyor aslında. Kuponlardaki karakter sayısını daha da arttırmak geçici olarak iyi bir çözüm.

Inferno'nun tavsiyesi ise CSRF kuponlarının gizli bir formun parçası olarak kullanılması ve her form iletiminde yeni bir kupon verilmesi oldu.

Ali Güngör

Okuyucu Yorumları

Toplam 11 Yorum

açığı güzel yakalamış umarım web siteleri hemen önlem alır.

Tarayıcılardaki "Gizli Tarama" özelliğini kullanın. veya kapandıktan sonra kişisel bilgileri silecek şekilde ayarlayın. Önbellekte uzun vadeli bilgi depolanmaz böylece. NoScript'li Firofox kullanın ve her siteye girmeyin.

Kupon derken neyin kastedildiğini anlamadım.

hiçbirşey anlamadım keşke terimleri türkçeleştirmeseydiniz.

Bu yöntemin benzeri zaten eskiden beri var, cookie çalma olayının farklı bir versiyonu gibi.. Kullanıcıların önemli saydıkları sitelere giriş yaptıktan sonra çıkarken, kesinlikle cookie'lerini tamamıyla veya önemine göre kısmen temizlemeleri güvenlikleri açısından önemli..

Bu arada önemli bir ayrıntıda, cookie'(çerez) lerin çalınmasını engellemek istiyorsanız, Opera tarayıcıdan şaşmayın, bu tarayıcıdan kolay kolay kimse cookie çalamaz, güncel olmak şartıyla..Tecrübe ile sabittir..

açığı yakalamıs ama yakalayan akıllıda buyuk siteler değilmi!!!! örneği gmail gibi büyük sitelerin güvenlik kodu zaten 8 haneli e facebook zaten güzenlik kodu istemiyor onun için bi bilgim yok acaba güvenlik kodu istememeside bi onlemmi acaba bilgisi olan paylaşsın sıra bizim yuzbinlerce üyesi olan mynet e geliyor mynet 4 haneli güvenlik kodu istiyor uyarmak lazım :) xD

ben olsam açıklamadan hacklerdim

Kupon şeklinde Türkçeleştirilmesi yanlış olmuş sadece. Jeton olmalıydı. Yoksa herşeyi Türkçeleştirmeniz gayet güzel. Keşke hep böyle olsa yazılarınız...

sık sık internet geçmişiniz silip her siteye girmeyin en önemlisi sıradan form sitelerine üye olurken bilgilerinizi %100 dogru girmeyin sonra sıkıntı dograbilir

webmail kullanmıyorum, kuponla işim olmaz. kurun opera maillerinize rahat rahat bakın. thunderbird kurun outlook kurun.

Sen de yorum yaz

Bu konuda okuyacaklarınız
1
2
Kurnaz yöntemle hızlı hack
CHIP'i Takip edin
E-Posta listemize katılın
CHIP Dergi Mobil Cihazınızda

İlginizi çekebilir