Links zu privaten IP-Adressen

< Vorheriger Eintrag | Nächster Eintrag >

Freitag, 11. Januar 2008

Links zu privaten IP-Adressen

Vielleicht wäre es nicht schlecht, wenn der Browser Links von öffentlichen zu privaten IP-Adressen monieren würde:

http://www.heise.de/newsticker/meldung/101641

Ich denke, dass sich das als Firefox-Extension problemlos realisieren lassen sollte. Da findet sich doch bestimmt jemand, der flink beim Extension-Programmieren ist

Geschrieben von Manuel Schmitt in Technik um 14:31 | Kommentare (15) | Trackbacks (0)

Trackbacks

Trackback-URL für diesen Eintrag

Keine Trackbacks

Kommentare

Ansicht der Kommentare: (Linear | Verschachtelt)

Das würde Webentwickler aber nicht unbedingt freuen.

#1 Jemand am 11.01.2008 15:13 (Antwort)

Dann müsste der Browser aber auch für jeden Link ne DNS Auflösung machen, irgendwer wird sicher auf die Idee kommen, irgendwas.example.com mit 192.168.1.1 ins DNS zu schreiben... ganz so einfach ist das nicht.

#2 alx am 11.01.2008 15:19 (Antwort)

Das macht er sowieso (AFAIK wegen Zertifikaten, Caching etc.)

#2.1 Manuel Schmitt (manitu) am 11.01.2008 15:24 (Antwort)

Auch bei IPs?
Also ruft der bei jeder IP die ReverseDNS-Einträge ab?

#2.1.1 Christoph am 11.01.2008 15:31 (Antwort)

Die haben damit ja nichts zu tun und sind hierfür technisch irrelevant.

#2.1.1.1 Manuel Schmitt (manitu) am 11.01.2008 15:34 (Antwort)

Wieso sollte man dazu eine Erweiterung bauen?
Es kann doch nicht sein, dass man für solche Fehler einen Schutz baut. Fehler gehören behoben und nicht umgangen.

#3 Max Eicher am 11.01.2008 15:44 (Antwort)

für-einen-web-führerschein
ok, wer so cklever ist die ganze zeit eingeloggt zu bleiben hats nicht besser verdient
soll linksys doch einfach die firmenware sicherer machen und auf referrer prüfen...

#4 Nico am 11.01.2008 16:14 (Antwort)

Angriffszenario:
Eine Seite mit Tuning-Tipps zum verwundbaren Router. Ergebnis: Der User ist mit hoher wahrscheinlichkeit eingeloggt während er auf der Seite surft, weil er die Tipps ausprobiert. Ansonsten läuft auch bei Otto-Normal-User die Session in der Box ab und nix passiert.

Referer müssen nunmal nicht gesendet werden, sie zu verlangen ist kein guter Stil. Gut, man könnte bei einem Referer von außerhalb blockieren, das würde >90% der Angriffe abhalten.

Der saubere Weg wäre eine Oberfläche mit einem Secret, das nur von Seite zu Seite im Formular weitergereicht wird. So kann man nicht "von der Seite" einsteigen sondern nur über das Logon.

#4.1 Christian am 11.01.2008 22:13 (Antwort)

Du kannst es noch einfacher haben: Requests, die zu einer Konfigurationsänderung führen, müssen per POST geschickt werden. Das sollte ein Routerhersteller sogar in überschaubaren Zeiträumen einbauen können.

#4.1.1 daFux am 12.01.2008 00:48 (Antwort)

So, oder wie Dein Vorredner, oder mit einer Session-ID (mit oder ohne Cookies)

#4.1.1.1 Manuel Schmitt (manitu) am 13.01.2008 07:06 (Antwort)

Kommando zurück. Auch ein POST stellt das nicht sicher, wenn der "Angreifer" ein verstecktes JavaScript laufen lässt, das ein Formular ohne Zutun des Anwenders abschickt.

#4.1.1.1.1 Manuel Schmitt (manitu) am 13.01.2008 07:53 (Antwort)

In dem Fall sollte die Same-Origin-Policy von JS zuschlagen, wenn sie nicht deaktiviert oder ausgehebelt wurde. Das Schad-JS kommt ja von Böser_Webseite und nicht von der Router-IP.

#4.1.1.1.1.1 Alex am 13.01.2008 19:17 (Antwort)

Nächster Versuch: Ein verstecktes Formular, was dem Besucher mit "weiter" untergejubelt wird. Zum Beispiel nach einer Werbung.

Prinzipiell bin ich natürlich dafür, dass der jeweilige Hersteller seines dafür tut, seine GUIs sicher zu machen. Aber ich denke, es wäre irrealistisch, sich der Illusion hinzugeben, dass man 100%ige Sicherheit schaffen kann. Ich denke, selbst der mündige und halbwegs informierte User kann heutzutage gar nicht mehr alles verstehen, ohne, dass er selbst programmieren kann (und sei es nur HTML mit Ajax oder JS).

Deshalb denke ich, dass auch die Browser-Hersteller dazu angehalten sind, hier ein bisschen unterstützend unter die Arme zu greifen. Ich weiß, dass der nachfolgende Vergleich minimal hinkt, aber: Würden sich alle Leute im Straßenverkehr entsprechend verhalten, bräuchte man keine Airbags. Aber sie helfen nun mal ungemein, Dinge, die nicht passieren sollten, abzumildern.

Sind wir soweit d'accord?

#4.1.1.1.1.1.1 Manuel Schmitt (manitu) am 13.01.2008 19:49 (Antwort)

Grundsätzlich gebe ich dir recht. Eine kleinere Erweiterung wäre gut, welche warnt, wenn von einer externen IP auf eine interne -wie auch immer- gelinkt wird.

Allein der Fortschritt wird dir die Erweiterung langfristig verleiden. Das iPhone liefert mit seinem Web-Anwendungsbasiertem Ansatz bereits einen Vorgeschmack darauf. Und diverse Hilfssysteme setzen auch bereits auf eine Mischung lokaler und entfernter Hilfseiten/Suchfunktionen. Der Mix von lokalen und entfernten Diensten im weitesten Sinn wird eher zunehmen. Und dann wird es schnell recht nervig.

Noch lustiger könnte es mit IPv6 werden. Nämlich dann, wenn Router aufhören, an angeschlossene Geräte lokale IPs zu vergeben, sondern gleich 'echte' IPs, um jegliches NAT einzusparen. Dann kann ein Client ohne Konfiguration bzw. Kooperation mit dem Router praktisch nicht mehr unterscheiden zwischen Adressen im eigenen Netz und ausserhalb.

#4.1.1.1.1.1.1.1 Alex am 13.01.2008 20:29 (Antwort)

Die Same Origin lässt sich aber relativ trivial via DNS-Cache-poisoning aushebeln, wie hier gezeigt wurde.

Kurz: Sich nur auf DNS verlassen ist nicht der Weisheit letzter Schluss.

#4.1.1.1.1.1.2 Andre Heinrichs am 13.01.2008 23:26 (Antwort)

Kommentar schreiben

Name
E-Mail
Homepage
Antwort zu
Kommentar	Umschließende Sterne heben ein Wort hervor (wort), per _wort_ kann ein Wort unterstrichen werden. Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert. Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet. Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden. Hier die Zeichenfolge der Spamschutz-Grafik eintragen: BBCode-Formatierung erlaubt
	Daten merken? Bei Aktualisierung dieser Kommentare benachrichtigen