Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > News - AV e sicurezza
Ricarica la Pagina Nuovo attacco: Clickjacking

Recensione Zenfone 11 Ultra: il flagship ASUS ritorna a essere un 'padellone'
Recensione Zenfone 11 Ultra: il flagship ASUS ritorna a essere un 'padellone'
Zenfone 11 Ultra ha tantissime qualità interessanti, fra cui potenza da vendere, un display di primissimo livello, un comparto audio potente e prestazioni di connettività fra le migliori della categoria. Manca però dell'esclusività del predecessore, che in un settore composto da "padelloni" si distingueva per le sue dimensioni compatte. Abbiamo provato il nuovo flagship ASUS, e in questa recensione vi raccontiamo com'è andata.
Appian: non solo low code. La missione è l’ottimizzazione dei processi con l'IA
Appian: non solo low code. La missione è l’ottimizzazione dei processi con l'IA
Abbiamo partecipato ad Appian World 2024, evento dedicato a partner e clienti che si è svolto recentemente nei pressi di Washington DC, vicino alla sede storica dell’azienda. Nel festeggiare il 25mo anniversario, Appian ha annunciato diverse novità in ambito intelligenza artificiale
Lenovo ThinkVision 3D 27, la steroscopia senza occhialini
Lenovo ThinkVision 3D 27, la steroscopia senza occhialini
Primo contatto con il monitor Lenovo ThinkVision 3D 27 che grazie a particolari accorgimenti tecnici riesce a ricreare l'illusione della spazialità tridimensionale senza che sia necessario utilizzare occhialini
eFootball taglia il traguardo dei 750 milioni di download: al via una campagna in-game
MS-DOS 4.0 diventa open source: Microsoft rende disponibile il codice sorgente
Micron riceverà 6,1 miliardi di dollari di sussidi dal CHIPS Act americano
STALKER 2 Heart of Chornobyl: nuovo trailer e screenshot
Google: ancora un rinvio per lo stop ai cookie. Per antitrust e privacy non avverrà prima del 2025
Lotus Evija X è la seconda auto elettrica più veloce al Nürburgring
NIO e Lotus annunciano una grossa novità: svilupperanno insieme ricarica e scambio batteria
Esclusive PlayStation su Xbox? Sì secondo un insider: Helldivers 2 sarà la prima
CATL: una nuova batteria per auto elettriche capace di offrire 600 km di autonomia con 10 minuti di ricarica
TikTok al bando negli USA? Biden firma, ByteDance non vuole vendere. La parola ai tribunali
Taglio di prezzo di 150 euro per SAMSUNG Galaxy S24, S24+ e S24 Ultra: l'S24 si può adesso acquistare a 649€
Tutti gli articoli Tutte le news

Vai al Forum
Pagina 3 di 3 < 1 2 3
Rispondi
 
Strumenti
Old 08-10-2008, 12:07   #41
Sisupoika
Registered User
 
Iscritto dal: Nov 2006
Città: Espoo, Finland
Messaggi: 1631
Quote:
Originariamente inviato da W.S. Guarda i messaggi
A questo affiancaci lo storage lato client e vedi che bel casino salta fuori

Non ci si scappa, l'architettura alla base è troppo debole, si ha pensato troppo alle funzionalità e troppo poco alla sicurezza. Ora ne hai voglia di metterci pezze.

Un hips per verificare il comportamento del codice web penso sarebbe ancora più complesso rispetto a quelli che conosciamo. Buona l'idea, ne ho sentito parlare anche un annetto fa, da qui ad implementarla... è una grande sfida.
secondo me before long si comincera' a parlare di una riscrittura del sistema
Sisupoika è offline   Rispondi citando il messaggio o parte di esso
Old 08-10-2008, 12:12   #42
W.S.
Senior Member
 
L'Avatar di W.S.
 
Iscritto dal: Nov 2005
Messaggi: 1868
Quote:
Originariamente inviato da Sisupoika Guarda i messaggi
secondo me before long si comincera' a parlare di una riscrittura del sistema
Eh, sarebbe cosa buona e giusta

Ma quanti anni ci vorranno prima di realizzarla?
__________________
[ W.S. ]
W.S. è offline   Rispondi citando il messaggio o parte di esso
Old 08-10-2008, 13:58   #43
Sisupoika
Registered User
 
Iscritto dal: Nov 2006
Città: Espoo, Finland
Messaggi: 1631
Quote:
Originariamente inviato da W.S. Guarda i messaggi
Eh, sarebbe cosa buona e giusta

Ma quanti anni ci vorranno prima di realizzarla?
Uhm...vediamo. Se penso che IPv6 e' ancora li' ad aspettare... uhm... non la vedo bene
Sisupoika è offline   Rispondi citando il messaggio o parte di esso
Old 08-10-2008, 15:12   #44
riazzituoi
Bannato
 
Iscritto dal: Aug 2007
Messaggi: 3847
.
Ultima modifica di riazzituoi : 29-04-2010 alle 11:45.
riazzituoi è offline   Rispondi citando il messaggio o parte di esso
Old 08-10-2008, 16:48   #45
Sisupoika
Registered User
 
Iscritto dal: Nov 2006
Città: Espoo, Finland
Messaggi: 1631
Quote:
Issue #1 STATUS: Unresolved. Clickjacking allows attackers to subvert clicks and send the victim’s clicks to web-pages that allow themselves to be framed with or without JavaScript. One-click submission buttons or links are the most vulnerable. It has been known since at least 2002


Quote:
If you like Michael Zalewski’s term “UI redress attack
"UI redress attack" suona piu' figo

Quote:
Issue #2 STATUS: Unresolved. ActiveX controls are potentially susceptible to clickjacking if they don’t use traditional modal dialogs, but rather rely on on-page prompting. This requires no cross domain access, necessarily, which means iframes/frames are not a prerequisite on an attacker controlled page.
Anche questo e' noto da anni. Uhm...

Quote:
Turning off microphone access in the BIOS and unplugging/removing controls to the camera are an alternative.
Oppure, se si ha un microfono USB, si puo' impostare l'ingresso mic della scheda audio come predefinito, e attivare quello usato soltanto nelle applicazioni che lo usano

La webcam? La giri contro la parete quando non la usi

Quote:
Issue #2c STATUS: To be fixed in Flash 10 release. All versions of Flash on IE7.0 and IE8.0 can be overlayed by opaque div tags. Using an onmousedown event handler the object click registers as long as the divs are removed by the onmousdown event handler function. Demo here of stealing access to the microphone.
Come dicevo in un altro post, questo e' un esempio di come si possono sfruttare tecniche vecchie, in modalita' del tutto nuove. Geniale, cmq.

Quote:
Issue #3 STATUS: To be fixed in the final release candidate. Flash on IE8.0 Beta is persistent across domains (think “ghost in the browser”). This would be a much worse vulnerability except for the fact that it beta and almost no one is using it.
LOL

Quote:
Issue #4 STATUS: Unresolved. Framebusting code does not appear to work well on some sites on IE8.0 Beta. Instead it is marked as a popup which is blocked by the browser - disallowing the frame busting code from executing.
Azz, IE8 sembra iniziare bene
Ma dico, neanche le basi?

Quote:
Issue #5 STATUS: Unresolved. State of clicks on other domains can be monitored with JavaScript (works best in Internet Explorer but other browsers are vulnerable too) which is cross domain leakage and can allow for more complex multi-click attacks. For example a page that has a check box and a submit button could be subverted upon two successful clickjacks. Additionally, this can make the attack completely seemless to a user by surrendering control of the mouse back to the user once the attack has completed.
Questa suona figa..uhm... bisogna fare delle prove


Quote:
Issue #6 STATUS: Unresolved. “Unlikely” XSS vulnerabilities that require onmouseover or onmousedown events on other parts of pages on other domains are suddenly more likely. For example if a webpage has a XSS vulnerability where the only successful attacks are things like onmouseover or onmousedown, etc… on unlikely parts of the page, an attacker can promote those exploits by framing them and placing the mouse cursor directly above the target XSS area. Therefore, otherwise typically uninteresting or unlikely XSS exploits can be made more dangerous.
Questa e' una altra conseguenza del trick datato, non vedo perche' considerarla a parte

Quote:
ecurity=restricted as a way to break frame busting code, and that is true, although it also fails to send cookies, which might break any significant attacks against most sites that check credentials.
Infatti, ma non si e' parlato per niente di P3P.
Vado a lasciare un commento. A dopo
Sisupoika è offline   Rispondi citando il messaggio o parte di esso
Old 08-10-2008, 17:14   #46
Sisupoika
Registered User
 
Iscritto dal: Nov 2006
Città: Espoo, Finland
Messaggi: 1631
Ho lasciato un commento. Sono curioso di capire se c'e' un motivo per cui P3P (e cio' che avrebbe dovuto essere) non e' stato neanche menzionato in occasione di questa "scoperta".
Forse mi sono perso qualcosa...
Sisupoika è offline   Rispondi citando il messaggio o parte di esso
Old 09-10-2008, 15:08   #47
riazzituoi
Bannato
 
Iscritto dal: Aug 2007
Messaggi: 3847
.
Ultima modifica di riazzituoi : 29-04-2010 alle 11:46.
riazzituoi è offline   Rispondi citando il messaggio o parte di esso
Old 20-12-2008, 16:04   #48
riazzituoi
Bannato
 
Iscritto dal: Aug 2007
Messaggi: 3847
.
Ultima modifica di riazzituoi : 29-04-2010 alle 11:46.
riazzituoi è offline   Rispondi citando il messaggio o parte di esso
Pagina 3 di 3 < 1 2 3
 Rispondi

« Discussione precedente | Discussione successiva »

Recensione Zenfone 11 Ultra: il flagship ASUS ritorna a essere un 'padellone' Recensione Zenfone 11 Ultra: il flagship ASUS ri...
Appian: non solo low code. La missione è l’ottimizzazione dei processi con l'IA Appian: non solo low code. La missione è ...
Lenovo ThinkVision 3D 27, la steroscopia senza occhialini Lenovo ThinkVision 3D 27, la steroscopia senza o...
La Formula E può correre su un tracciato vero? Reportage da Misano con Jaguar TCS Racing La Formula E può correre su un tracciato ...
Lenovo LEGION e LOQ: due notebook diversi, stessa anima gaming Lenovo LEGION e LOQ: due notebook diversi, stess...
eFootball taglia il traguardo dei 750 mi...
MS-DOS 4.0 diventa open source: Microsof...
Micron riceverà 6,1 miliardi di d...
STALKER 2 Heart of Chornobyl: nuovo trai...
Google: ancora un rinvio per lo stop ai ...
Lotus Evija X è la seconda auto elettric...
NIO e Lotus annunciano una grossa novit&...
Esclusive PlayStation su Xbox? Sì...
CATL: una nuova batteria per auto elettr...
TikTok al bando negli USA? Biden firma, ...
Taglio di prezzo di 150 euro per SAMSUNG...
Utenti Amazon Prime: torna a 148€ il min...
Microsoft sfiora i 62 miliardi di dollar...
Coca-Cola al cloud con un pizzico di IA:...
Prodotti TP-Link Tapo in offerta: videoc...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi
Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 23:55.

Contattaci - Hardware Upgrade - Archivio - Note sulla Privacy - Su

Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Served by www2v