Zpět na seznam článků     Zpět na článek

Komentáře ke článku

 
 
 BBCode
.cCuMiNn. | E-mail | Website | PGP3.11.2011 15:06
smrtfizlum: Děkuji za upozornění - opraveno.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
smrtfizlum | E-mail3.11.2011 14:57
Ahoj, v textu je neplatný link na CSRF:
[link]
Nejspíše má být jen:
[link]
johnny11 | 78.102.8.*3.11.2011 14:35
Ahoj
potvrzuji uvedené zranitelnosti u registrátora kvapem.cz.
Změny DNS, přesmérování emailu a domény bez upozornění e-mailem!
.cCuMiNn. | E-mail | Website | PGP3.11.2011 14:06
Martin Kalenda: Tabulka uvedená ve článku nepodává informaci o tom, zda je u daného registrátora možné ukrást doménu, ale o tom, zda je jeho webová aplikace náchylná na zmíněné útoky. Za informacemi, které jsou v ní uvedené si proto stojím. U mnoha registrátorů je možné pomocí CSRF rovnou měnit DNS záznamy k doméně nebo NSSET. Rozhodně bych tedy situaci nepodceňoval. Každý si samozřejmě může stav u svého registrátora snadno ověřit a může se pak podělit o své zjištění.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
Martin Kalenda | 81.201.49.*3.11.2011 13:48
Velmi roztodivné. jen doplním pravým jménem ale bez uvedení registrátora, tabulka neobsahuje pravdívé údaje. Okořeněné tím co píše Tomáš Pařík. Je opravdu zajímavé jak funguje potvrzování domén na stránkách kde není přihlášení -> závěr je jednoduchý. lze ukrást autorizační udaje? lze pak je web zranitelný což je ovšem omyl.
I kdyby existovala nějaká šance něco takto potvrdit, tak až následně přes click-thru to musí dotyčný potvrdit a to dvoufázově aby nehrozilo že nějakej antivir provede test v mailu na ten link ten link načte a tím se doména převede.

takže jistě je dobré na to upozornit ale mám pocit že v tabulce bude tak 1/3 zcela postavená na vodě (na možnosti tím něco provést bez schopnosti ověřit že se tak stalo).
Subreg - gransy | 165.72.200.*3.11.2011 13:02
Šel by otestovat i subreg - gransy?
.cCuMiNn. | E-mail | Website | PGP3.11.2011 12:28
mikrom: Boužel i v případě kdy registrátor na zabezpečení skutečně hledí, se může stát, že jeho uživatelé doplatí na chyby u registrátora jiného. V případě autorizačních e-mailů k tomu může snadno dojít za předpokladu, že jsou mailové zprávy pro majitele domény doručovány doméně jiné, která je spravována méně zodpovědným registrátorem. Bohužel je to smutná realita.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
mikrom | 62.168.45.*3.11.2011 12:16
odpoved z onebit.cz

Dobrý den,

bezpečnost služeb považujeme za jeden z pilířů kvalitního webhostingu. Změna registrátora, NSSETu nebo emailové adresy majitele .CZ domény je u nás možná jen na základě autorizačního hesla, které je zasláno na emailovou adresu majitele domény - útočník by tedy musel mít přístup i k Vaší emailové schránce. Změna majitele domény pak dokonce vyžaduje notářsky ověřený podpis majitele. Krádež domény popsaným způsobem tedy není možná.

V každém případě však souhlasíme s tím, že je vhodné se na internetu chovat obezřetně a např. pro citlivé stránky jako je administrace, ebanking atp. používat jiný prohlížeč než pro klasické prohlížení webů a také se z administrace odhlašovat.

V případě dalších dotazů se na nás neváhejte obrátit.

S přáním hezkého dne
Tomáš Pařík

ONEbit.cz - vítěz soutěže o nejlepší webhosting PHP + MySQL
.cCuMiNn. | E-mail | Website | PGP3.11.2011 11:22
kdosiodjinud: To se případ od případu různí. V tomto článku jsou ovšem uvedeni pouze ti registrátoři, u kterých bylo možné založit účet bez objednání domény, nebo ti, u kterých bylo možné toto omezení pomocí různých triků obejít. Ostatní registrátoři mají v tabulce uveden znak -. Pokud někdo máte doménu spravovánu u netestovaného registrátora, budu rád, když se zde podělíte o stav také jeho zabezpečení.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
3.11.2011 11:15
Hezké, takový nůž do zad. Když testuješ takhle různé služby, dost často pro přístup do administrace je třeba mít placený účet, řešíš to dohodou, že jim oznámíš chyby nebo platíš? :)

Stránky: 1 2 3 4 5 6 7
© 2003–2024 SOOM.cz | ISSN 1804-7270 | info@soom.cz | IRC #soom | changelog | Y2VkZDEyOG