Skip to content
< Vorheriger Eintrag | Nächster Eintrag >

Freitag, 11. Januar 2008, 14:31

Links zu privaten IP-Adressen

Vielleicht wäre es nicht schlecht, wenn der Browser Links von öffentlichen zu privaten IP-Adressen monieren würde:
http://www.heise.de/newsticker/meldung/101641
Ich denke, dass sich das als Firefox-Extension problemlos realisieren lassen sollte. Da findet sich doch bestimmt jemand, der flink beim Extension-Programmieren ist :-D

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Jemand

Das würde Webentwickler aber nicht unbedingt freuen.

alx

Dann müsste der Browser aber auch für jeden Link ne DNS Auflösung machen, irgendwer wird sicher auf die Idee kommen, irgendwas.example.com mit 192.168.1.1 ins DNS zu schreiben... ganz so einfach ist das nicht.

Manuel Schmitt (manitu)

Das macht er sowieso (AFAIK wegen Zertifikaten, Caching etc.)

Christoph

Auch bei IPs?
Also ruft der bei jeder IP die ReverseDNS-Einträge ab?

Manuel Schmitt (manitu)

Die haben damit ja nichts zu tun und sind hierfür technisch irrelevant.

Max Eicher

Wieso sollte man dazu eine Erweiterung bauen?
Es kann doch nicht sein, dass man für solche Fehler einen Schutz baut. Fehler gehören behoben und nicht umgangen.

Nico

für-einen-web-führerschein
ok, wer so cklever ist die ganze zeit eingeloggt zu bleiben hats nicht besser verdient
soll linksys doch einfach die firmenware sicherer machen und auf referrer prüfen...

Christian

Angriffszenario:
Eine Seite mit Tuning-Tipps zum verwundbaren Router. Ergebnis: Der User ist mit hoher wahrscheinlichkeit eingeloggt während er auf der Seite surft, weil er die Tipps ausprobiert. Ansonsten läuft auch bei Otto-Normal-User die Session in der Box ab und nix passiert.

Referer müssen nunmal nicht gesendet werden, sie zu verlangen ist kein guter Stil. Gut, man könnte bei einem Referer von außerhalb blockieren, das würde >90% der Angriffe abhalten.

Der saubere Weg wäre eine Oberfläche mit einem Secret, das nur von Seite zu Seite im Formular weitergereicht wird. So kann man nicht "von der Seite" einsteigen sondern nur über das Logon.

daFux

Du kannst es noch einfacher haben: Requests, die zu einer Konfigurationsänderung führen, müssen per POST geschickt werden. Das sollte ein Routerhersteller sogar in überschaubaren Zeiträumen einbauen können.

Manuel Schmitt (manitu)

So, oder wie Dein Vorredner, oder mit einer Session-ID (mit oder ohne Cookies)

Manuel Schmitt (manitu)

Kommando zurück. Auch ein POST stellt das nicht sicher, wenn der "Angreifer" ein verstecktes JavaScript laufen lässt, das ein Formular ohne Zutun des Anwenders abschickt.

Alex

In dem Fall sollte die Same-Origin-Policy von JS zuschlagen, wenn sie nicht deaktiviert oder ausgehebelt wurde. Das Schad-JS kommt ja von Böser_Webseite und nicht von der Router-IP.

Manuel Schmitt (manitu)

Nächster Versuch: Ein verstecktes Formular, was dem Besucher mit "weiter" untergejubelt wird. Zum Beispiel nach einer Werbung.

Prinzipiell bin ich natürlich dafür, dass der jeweilige Hersteller seines dafür tut, seine GUIs sicher zu machen. Aber ich denke, es wäre irrealistisch, sich der Illusion hinzugeben, dass man 100%ige Sicherheit schaffen kann. Ich denke, selbst der mündige und halbwegs informierte User kann heutzutage gar nicht mehr alles verstehen, ohne, dass er selbst programmieren kann (und sei es nur HTML mit Ajax oder JS).

Deshalb denke ich, dass auch die Browser-Hersteller dazu angehalten sind, hier ein bisschen unterstützend unter die Arme zu greifen. Ich weiß, dass der nachfolgende Vergleich minimal hinkt, aber: Würden sich alle Leute im Straßenverkehr entsprechend verhalten, bräuchte man keine Airbags. Aber sie helfen nun mal ungemein, Dinge, die nicht passieren sollten, abzumildern.

Sind wir soweit d'accord?

Alex

Grundsätzlich gebe ich dir recht. Eine kleinere Erweiterung wäre gut, welche warnt, wenn von einer externen IP auf eine interne -wie auch immer- gelinkt wird.

Allein der Fortschritt wird dir die Erweiterung langfristig verleiden. Das iPhone liefert mit seinem Web-Anwendungsbasiertem Ansatz bereits einen Vorgeschmack darauf. Und diverse Hilfssysteme setzen auch bereits auf eine Mischung lokaler und entfernter Hilfseiten/Suchfunktionen. Der Mix von lokalen und entfernten Diensten im weitesten Sinn wird eher zunehmen. Und dann wird es schnell recht nervig.

Noch lustiger könnte es mit IPv6 werden. Nämlich dann, wenn Router aufhören, an angeschlossene Geräte lokale IPs zu vergeben, sondern gleich 'echte' IPs, um jegliches NAT einzusparen. Dann kann ein Client ohne Konfiguration bzw. Kooperation mit dem Router praktisch nicht mehr unterscheiden zwischen Adressen im eigenen Netz und ausserhalb.

Andre Heinrichs

Die Same Origin lässt sich aber relativ trivial via DNS-Cache-poisoning aushebeln, wie hier gezeigt wurde.

Kurz: Sich nur auf DNS verlassen ist nicht der Weisheit letzter Schluss.

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

BBCode-Formatierung erlaubt
Formular-Optionen