Wykop.pl

Wykopalisko (232) Hity Mikroblog

Czy można wzruszyć ramionami na wieść o luce, która zagraża praktycznie każdej witrynie w Internecie? Jeśli pracuje się w Adobe, to można. Odkryta przez specjalistów luka we Flashu...

Dodany z webhosting.pl do Technologia » Internet z tagami atak ignorancja niebezpieczeństwo web 2 adobe flash cycki

Wykopali 179, zakopali 38

HYBRYDOWY ** BOOMBOX MP3 CYFROWE FM USB SD OV-308 Cena: 129.00 zł
Pilnie Zam. Audi a4 i/lub Vitare na każdy samochód Cena: 4.25 zł
MP3 PHILIPS GOGEAR RAGA 4GB DYKTAFON RED GW-6mcy Cena: 95.00 zł

Allegro.pl

Wymagana obsługa JavaScript

Żeby w pełni skorzystać z nowych funkcji włącz obsługę JavaScript lub zmień przeglądarkę na taką, która go wspiera.

Powiązane (2)

pokaż (1)

niezaminusowane

Pokaż: ustaw jako domyślne

pokaż obrazki

Komentarze (46)

Reklamy Google
Ryrzy 2 lata 2 mies. temu +16

I tak 60% ludzi nie wie ocb i ma to głęboko i szeroko :@
- #
pokaż komentarz
wrzes 2 lata 2 mies. temu +11

Nie kumam tego ataku. Jeżeli problem dotyczy nie tylko Flasha, ale JS, Silverlight (i pewnie każdej innej technologii, która pozwala użytkownikowi na "za dużo"), do tego wynika raczej z beztroski administratorów, to dlaczego obrywa się Adobe? To jakiś nowy chłopiec do bicia?
- #
pokaż komentarz
niemamracji 2 lata 2 mies. temu +12

no to webhosting przecież, "pudelek" stron o technologiach i internecie.
- #
pokaż komentarz
ignacyteodor 2 lata 2 mies. temu +7

Polega to na tym, że wiele stron pozwala użytkownikom na wrzucanie różnych plików, np. jest forum, które pozwala użytkownikom dołączać pliki GIF, JPG, PNG, TXT (inne rozszerzenia są blokowane). Plik po wrzuceniu na serwer jest dostępny pod adresem w tej samej domenie np. http://nazwastrony.com/avatars/12345.gif.

Gdy ktoś wrzuci SWF z rozszerzeniem zmienionym na .gif, plik taki zostanie oczywiście zapisany na serwerze. Wyświetlenie tego pliku spowoduje wykonanie kodu ActionScript, pomimo tego że plik ma rozszerzenie .gif i Content-Type: image/gif. Ponieważ plik znajduje się w tej samej domenie, może wysyłać żądania HTTP do innych elementów na niej hostowanych, ma też dostęp do cookies ustawionych przez stronę.

Sprawdzanie poprawności formatu GIF też nie wystarczy, bo plik może być jednocześnie poprawnym GIF i SWF.

Silverlight czy JS nie jest wykonywany w dowolnych plikach, a jedynie w tych posiadających odpowiedni Content-Type. Jak wrzucisz JavaScript z rozszerzeniem zmienionym na .gif, to zobaczysz tylko czerwony X, kod się nie wykona.
- #
pokaż komentarz
altruista 2 lata 2 mies. temu +5

Dlatego też przy wrzucaniu plików powinno się sprawdzać nie jego rozszerzenie ale np. jeśli używamy PHP sprawdzić czym ten plik naprawdę jest - ot choćby funkcja getimagesize() albo exif_imagetype():
http://www.php.net/manual/en/function.getimagesize.php
http://www.php.net/manual/en/function.exif-imagetype.php
która zwróci nam typ MIME wysłanego pliku.

I faktycznie ten webhosting to taki pudelek technologiczny, bo gdzie w tym wina Adobe?! Już prędzej zwalałbym winę na twórców przeglądarek/administratorów stron...
- #
pokaż komentarz
borysses 2 lata 3 mies. temu +22

Nie bardzo widzę związek Adobe z tym. Przecież jest bardzo proste rozwiązanie tego problemu i tylko od administratorów stron to zależy czy naraża swoje witryny oraz userów na niebezpieczeństwo.
- #
pokaż komentarz
teddybear69 2 lata 2 mies. temu +15

Dokładnie... równie dobrze twórcy stron mogli by pozwalać wrzucać do serwisów swój kod php i dziwić się dlaczego PHP Group nie załata tego "buga" :P
- #
pokaż komentarz
ignacyteodor 2 lata 2 mies. temu 0

Przecież jest bardzo proste rozwiązanie tego problemu

Jakie?
Nie mam pieniędzy na drugą domenę dla serwisu.

Zablokowanie wrzucania plików .swf na stronę nie wystarczy, bo lamerski Flash Player uruchomi nawet plik z rozszerzeniem .gif i Content-Type: image/gif.

Content-Disposition: attachment też nie mogę ustawić, bo chcę żeby np. pliki graficzne wyświetlały się w oknie przeglądarki, a nie w zewnętrznym programie.
- #
pokaż komentarz
borysses 2 lata 2 mies. temu 0

Domenę z hostingiem z nielimitowanym transferem możesz mieć za 80 zł za rok. To jest niecałe 7 zeta na miesiąc. Nie są to jakieś straszne pieniądze.
- #
pokaż komentarz
Stefanescu 2 lata 2 mies. temu +3

No bo trzeba przecież obsmarować Adobe. Mogli by też oskarżyć Microsoft o dziurę polegającą na możliwości wgrania wirusa do systemu Windows.
- #
pokaż komentarz
ignacyteodor 2 lata 2 mies. temu +10

Domenę ... możesz mieć za 80 zł za rok. To jest niecałe 7 zeta na miesiąc. Nie są to jakieś straszne pieniądze.

Ale dlaczego mam płacić za to, że Adobe zrobiło jakiś plugin niezgodny ze specyfikacją HTTP?

Pliki użytkowników pozostawię w nazwastrony.com/files, nie zamierzam kupować niczego w stylu nazwastrony-files.com tylko po to, żeby Flash nie wykonał żadnego skryptu z uprawnieniami domeny.

No bo trzeba przecież obsmarować Adobe

Bo to jest wina Adobe. Dlaczego Flash wykonuje plik, który według nagłówków HTTP jest plikiem GIF czy JPEG i ma też takie rozszerzenie?
- #
pokaż komentarz
grip 2 lata 2 mies. temu +1

Jeżeli chodzi o politykę crossdomain flash'a, to z własnego doświadczenia wiem, że z załadowaniem danych już z innej subdomeny naszej domeny są problemy. Dlatego wydaje mi się że mówienie o kolejnej domenie to lekka przesada (wystarczy zamontować subdomenę w katalogu z odpowiednimi uprawnieniami). Chyba że luka traktuje o czymś innym niż myślę ;]. Jest gdzieś opis tego problemu nastawiony bardziej na aspekt techniczny niż sztandarowe 'flash to reklamy na onecie, flash jest zły'?
- #
pokaż komentarz
fanzonun 2 lata 3 mies. temu +50

Też mi nowość, lol, przecie ten problem znany jest od bardzo bardzo dawna.
Choćby webhosting opisywał to już spory czas temu:
http://www.wykop.pl/link/38047/aplikacje-flash-podatne-na-ataki-xss-i-znikad-ratunku
Ciężko to nawet nazwać luką. It's not a bug, it's a feature!
- #
pokaż komentarz
MikiPL 2 lata 2 mies. temu +20

Aha... Czyli było ?
- #
pokaż komentarz
fanzonun 2 lata 2 mies. temu +30

Nie było, to jest nieco inne, jednak chodzi praktycznie o to samo.
- #
pokaż komentarz
seba-zzdw 2 lata 2 mies. temu -21

Trza było się już dawno temu przerzucić na SilverLight
- #
pokaż komentarz
cnv2007 2 lata 2 mies. temu +22

Widziałeś aplikacje w silverlight? Przecież to chłam, jedyne co to ma dobrego to kodeki do odtwarzania Video.

A ten bug to takie cholerne odkrycie, że szok. Równie dobrze możnaby mieć pretensję do twórców PHP, że zrobiliśmy hosting a użytkownicy mogą wykonywać pliki .php które tam umieszczą.

Podsumowując - ktoś szuka taniej sensacji.
- #
pokaż komentarz
TheBlackMan 2 lata 2 mies. temu +8

To w ogóle nie jest luka... ode mnie zakop za informację nieprawdziwą.

To tak samo jakby winić twórców PHP za to, że firmy hostingowe zezwalają na wygrywanie skryptów PHP na serwer przez użytkowników...
- #
pokaż komentarz
pies_harry 2 lata 2 mies. temu +7

Problem nie jest absolutnie z flashem. Adobe ma rację. To cecha WWW. Jeśli zezwalam na zapisanie na serwerze pliku (bez sprawdzenia, czy może on zawierać elementy wykonywalne, a każdy flash może), następnie, jeśli nie zabezpieczę możliwości odwołania się do tegoż pliku z mojej domeny - to mam dni otwarte drzwi otwartych. Do tego nie trzeba flasha. Wystarczy javascript i php.

Jak zabezpieczałem u siebie? Plik uploadowany był analizowany pod kątem treści (czy jest np grafiką - próba zdekodowania zawartości). Dalej - plik zostawał zapisany na serwerze pod losową nazwą, pozostającą nieznaną dla przeglądarki. Następnie w momencie kiedy były potrzebne dane zawarte w pliku (np w celu downloadu) - plik był odczytywany porcjami przez skrypt po stronie serwera, i wysyłany do przeglądarki z odpowiednimi nagłówkami - uniemożliwiającymi przypadkowe wykonanie przesyłanych danych.

Jak ktoś daje komuś po prostu dostęp do katalogu z uploadami i możliwość linkowania do plików w tym katalogu - to jakby zostawiał drzwi w samochodzie otwarte. A jak się czepia Adobe, to jak by się czepiał Forda, że łatwo go ukraść, jak się w nim drzwi nie zamknie i kluczyki zostawi w stacyjce.

A może da się zrobić jpg, który się prawidłowo zdekoduje jako jpg, a wykona się jako flash? :) A może prawidłowo sformatowany PDF da się wykonać jako flash? Pytam retoryczne, wątpię w to, a jak ktoś chce się kłócić, to poproszę o przykładowy plik.
- #
pokaż komentarz
breeder 2 lata 2 mies. temu +7

"Jeśli atakujący stworzy szkodliwy obiekt Flash i wgra go na stronę, która pozwala użytkownikom na takie działania (a pozwala na to zdecydowana większość stron Web 2.0)"

No tak, a jeśli atakujący przyjdzie do serwerowni, która pozwala wchodzić do niej każdemu i zabierze jakiś komputer, to też będzie klapa.

Ta "większość" to webmaile i serwisy społecznościowe, które pozwalają umieszczać swoją albo cudzą twórczość we Flashu.

Jeśli chodzi o YouTube, to nie jestem pewien, czy tam jest możliwość dodawania dowolnej zawartości. Po prostu oni używają technologii Flash do wyświetlania filmu, który sami wcześniej skonwertowali. To tak jakby powiedzieć, że system Windows jest zagrożony uruchamianiem dowolnego kodu, bo Windows Media Player jest programem a przecież on się uruchamia, gdy na stronie jest film. Inna sprawa, że są takie błędy czasem znajdowane, ale to jest inna klasa problemów – usterki playera, a nie technologii.
- #
pokaż komentarz
cnv2007 2 lata 2 mies. temu +6

>No tak, a jeśli atakujący przyjdzie do serwerowni, która pozwala
>wchodzić do niej każdemu i zabierze jakiś komputer, to też będzie
>klapa.

Właśnie odkryłeś poważną lukę w budowie serwerów. Powinieneś napisać do intela a zaraz potem artykuł "jaki to intel zły - nie reaguje".

Z flashem jak widać przeszło, może i z serwerami się uda :)
- #
pokaż komentarz
deena 2 lata 2 mies. temu +7

Webhosting.pl przez kilka miesięcy nie płacił Pawłowi Wimmerowi za artykuły pomimo podpisanej umowy (dyskusja pod newsem):

http://dailytech.pl/5049/jak-to-jest-z-webhosting-pl/

Zapłacili z półrocznym opóźnieniem. Jak się już smród rozszedł.
- #
pokaż komentarz
lubczasopisma 2 lata 2 mies. temu -3

A ja miałem wczoraj 50 zł zostawione na szafce, był kolega i kaska wsiąkła. W sumie to dzisiaj rano się znalazła (okazało się że Mama przełożyła) - ale smród pozostał.
- #
pokaż komentarz
bluesubmarine 2 lata 2 mies. temu -4

Paweł Wimmer przecież był redaktorem IDG a nie Webhostingu.
- #
pokaż komentarz
BQP 2 lata 2 mies. temu +2

"Większości użytkowników służy on do oglądania toplayerowych reklam i filmów na YouTube (czy innych tego typu serwisach)."

Ten tekst mnie rozłożył. Ciekawe jakie to mogą być te inne serwisy :)
- #
pokaż komentarz
ard001 2 lata 2 mies. temu +21

RedTube? ;)
- #
pokaż komentarz
MikiPL 2 lata 2 mies. temu +15

No tak... A Daily Motion, patrz ? Co wy k%!#a ssie uzależniliście ?
- #
pokaż komentarz
krejd 2 lata 2 mies. temu +18

Niczego nie ssę. Jestem hetero, wypraszam sobie.
- #
pokaż komentarz
Przew 2 lata 2 mies. temu +12

więc biedna Twoja partnerka ;)
- #
pokaż komentarz
n00bie 2 lata 2 mies. temu 0

Brak haseł na bazach danych MySQL zagraża większości użytkowników Sieci. Deweloperzy Sun'a rozkładają ręcę...

FUD
- #
pokaż komentarz
whysoserious22 2 lata 2 mies. temu -3

Ale dlaczego nie moga z tym nic zrobić?
- #
pokaż komentarz
Michal2 2 lata 2 mies. temu +2

Bo zarzucają Adobe coś, co jest błędem administratorów.
- #
pokaż komentarz
KierownikKaruzeli 2 lata 3 mies. temu -23

Flash to jedno wielkie gowno.
- #
pokaż komentarz
teddybear69 2 lata 2 mies. temu +8

Flash to jedno wielkie gówno, ponieważ?
- #
pokaż komentarz
MikiPL 2 lata 2 mies. temu -11

Potwornie dużo waży taka przeciętna stronka we flashu... wczytuje się pół godziny (patrz np. coke.pl )... same fajerwerki... Obciąża serwer i nie da się skopiować z niego tekstu ( przeważnie ).
- #
pokaż komentarz
Sklejany 2 lata 2 mies. temu +9

MikiPl, nie wiem jak Tobie, ale mi coke.pl wczytało się, bo ja wiem, w 0.5s?
- #
pokaż komentarz
bagi1 2 lata 2 mies. temu -24

Sklejany jest inny!
Wiecie co z nim zrobić...
- #
pokaż komentarz
grip 2 lata 2 mies. temu +11

MikiPL: Specyfiką flasha jest to, że wykonuje się po stronie użytkownika a nie na serwerze. Obciążamy serwer tylko koniecznością trasnferu danych. A to, że strona ładuje Ci się pół godziny... Idź ze skargą do tego kto ją zrobił, a może (lepiej) do tego kto zapłacił temu komuś kto ją zrobił ;]. Tak samo można sp%#!#%$ić stronę AJAX'ową.
- #
pokaż komentarz
arti040 2 lata 2 mies. temu +21

@Sklejany
Tak, gdyby kazdy potworek flashowy mial budzet Coke.pl, Flash bylby fajny. Niestety, rzeczywistosc nie jest tak rozowa i 99% stron w tej technologii przeszkadza, irytuje, wkruwia, [tu wpisz dowolny czasownik o negatywnym znaczeniu]...
- #
pokaż komentarz
NIXin 2 lata 2 mies. temu -1

Poza tym większość rzeczy (a czasami nawet i więcej) da się zrobić w JS w dużo bardziej wydajny sposób (patrz np. Chrome Experiments - zrobienie podobnych rzeczy we flashu obciążałoby system masakrycznie)
- #
pokaż komentarz
teddybear69 2 lata 2 mies. temu 0

Flash jest do pewnych zastosowań idealny i niezastąpiony. Mogę Ci wymienić co najmniej tuzin aplikacji w których js-em byś flasha nie zastąpił. Obciążać to może obciąża, ale jak się go nadużywa i tak jak pisał grip obciąża tylko użytkownika, a nie serwer. Trzeba porostu wiedzieć do czego można, a do czego nie można go stosować... Jak każda technologia ma swoje wady i zalety, ale tak jak pisałem powyżej.. są zastosowania w których nie da się go zastąpić oraz takie w których było by to niezwykle Ciężkie.

Dlatego nie ma żadnego powodu, żeby nazywać go gównem. Gównem można nazwać aplikacje/strony na których technologia ta jest niewłaściwie wykorzystywana, a nie ją samą.
- #
pokaż komentarz
fluxfluxflux 2 lata 2 mies. temu -6

NoScript i Sandboxie.
- #
pokaż komentarz
seba-zzdw 2 lata 2 mies. temu -6

NoScript działa akurat na JS a nie na Flash
- #
pokaż komentarz
kuba11 2 lata 2 mies. temu -11

A jak mam firewalla, to chyba nic mi nie grozi ?
- #
pokaż komentarz
westsiderr 2 lata 2 mies. temu +11

Nie, nigdy nie będziesz bezpieczny. Hakerzy włamią się na twoje konto i skasują wszelkie pornosy.
- #
pokaż komentarz
Colicab 2 lata 2 mies. temu -3

Moze w koncu Silverlight bedzie szerzej uzywany, a nie to gowno obciazajace system
- #
pokaż komentarz

pokaż

Luka we Flashu zagraża większości użytkowników Sieci. Adobe rozkłada ręce

Powiązane (2)

Komentarze (46)

Wykopali i zakopali (179 / 38)

Powiązane (2)

Webhosting.pl przez kilka miesięcy nie płacił Pawłowi Wimmerowi za artykuły +6

http://pokazywarka.pl/jpn/

Komentarze (46)

Wykopali i zakopali (179 / 38)