התייעצות עם הציבור לגבי אבטחת מידע בדפי חסימה.

זהב

פוסט זה נמחק!

bbn

@זהב אמר בהתייעצות עם הציבור לגבי אבטחת מידע בדפי חסימה.:

הקישור: לא מביא כלום.

זה מביא את הדף של האתר ואי אפשר לעשות בו כלום

memgd

למי שלא מבין על מה מדובר, עיינו כאן: http://wiki.netfree.link/wiki/הגדרת_דף_חסימה_מותאם_אישית

yzahn

@magicode
כמובן שלא מומחה אני ולא בן מומחה. אני רק מנסה לנתח את הנושא איך שנראה לענ"ד.
להבנתי מנגנון הבידוד של iframes נועד בעיקר עבור אתרים ציבוריים שמטמיעים תוכן מצד שלישי שיהיה מוצג לכל הגולשים באתר שלהם, לכן הם רוצים לתת הכי פחות שליטה לצד השלישי. למשל אתר nytimes רוצה להטמיע פרסומת מצד שלישי לא מוכר, הם לא רוצים שהצד השלישי הזה יוכל לנתב את הדף לדומיין אחר, או להקפיץ פופאפים, לנגן מוסיקה, וכו'.
המקרה שלנו קצת שונה, התוכן הזה מוצג רק על מחשבים של אלו שגולשים על הקו הספציפי שהגדיר את דף החסימה הזו.
ברוב המקרים מדובר במחשבים שבעל הקו שולט עליהם בלא"ה, או באנשים שסומכים על בעל הקו. אז החשש מצטמצם רק למקרים של אנשים זרים שגולשים ממחשב שלהם על קו של מישהו אחר ולא סומכים עליו.
(במקרה כזה צריך להיות מודע לעוד בעיות למשל dns highjacking, אבל בא נאמר שנטפרי לא רוצים לתרום עוד אפשרויות של משחקים רעים)

ומה החשש?

חוץ מהיכולת לעשות קצת בלאגן שזה לא נורא, הבעיה היחידה שאני מצליח כרגע להעלות על דעתי היא (הבעיה שאתה העלית) שינתבו את הגולש לדף פישינג.
נראה לי שלזה מספיק מניעת ניתוב של ה-TOP. והוספת הלוגו של נטפרי. ואולי גם מניעת פתיחת כרטיסיייה חדשה. אני לא רואה שום דרך שבעל הקו יכול לעקוף את זה.

nigun

@yzahn
יש חשש נוסף
שאם מישהו מצליח לפרוץ לחשבון של לקוח אחר (לא תמיד אנשים בוחרים סיסמה חכמה)
הוא יכול לשים את דפי הפישיניג שלו.
כיום גם אם מישהו פורץ, לא נראה לי שיש מידע רגיש בפנים ,למעט הקלטות תעבורה ישנות שמופיעים בפניות.

aknvtchtk

@nigun בשביל זה אפשר להגדיר מדיניות שיצטרכו לבחור בסיסמה עם סמלים ואותיות גדולות וקטנות
מסתמא זה מצריך פיתוח מסוים אבל זה יכול להוות פיתרון

מ. פינחסי

שאלת תם, של מישהו שהוא "בור" בכל העניינים האלה:

למה זה טוב?

למה @magicode משקיע בזה זמן?

מעלה ומוריד

@bbn אמר בהתייעצות עם הציבור לגבי אבטחת מידע בדפי חסימה.:

זה מביא את הדף של האתר ואי אפשר לעשות בו כלום

@magicode אמר בהתייעצות עם הציבור לגבי אבטחת מידע בדפי חסימה.:

אנחנו משביתים את ה JAVASCRIPT

yzahn

@nigun אמר בהתייעצות עם הציבור לגבי אבטחת מידע בדפי חסימה.:

שאם מישהו מצליח לפרוץ לחשבון של לקוח אחר (לא תמיד אנשים בוחרים סיסמה חכמה)
הוא יכול לשים את דפי הפישיניג שלו.

הוא יהיה חייב לשים את דף הפישינג שלו על אתר שפתוח בנטפרי. בניגוד למצב שהוא בעל הקו הוא יכול לשים את הדף בכתובת פנימית שאין לנטפרי שליטה עליה.

נטפריס

@magicode אם זה דומיין ייעודי זה מצויין, אבל אם זה אותו דומיין של נטפרי לא מפריע לך שמנהל קהילה יוכל לפעול ולדעת הכל על הלקוח?

hagai.w

https://security.stackexchange.com/
הם באמת מומחים

nigun

@hagai-w אמר בהתייעצות עם הציבור לגבי אבטחת מידע בדפי חסימה.:

https://security.stackexchange.com/
הם באמת מומחים

אבל הם לא יכולים לרדת לפרטי המקרה
זה לא שאלה קלאסית

WWW

@yzahn אמר בהתייעצות עם הציבור לגבי אבטחת מידע בדפי חסימה.:

והוספת הלוגו של נטפרי.

נראה שבוצע, או שכבר היה לפנ"כ?

אינו יודע לשאול

@מ-פינחסי אמר בהתייעצות עם הציבור לגבי אבטחת מידע בדפי חסימה.:

שאלת תם, של מישהו שהוא "בור" בכל העניינים האלה:

למה זה טוב?

למה @magicode משקיע בזה זמן?

כדי שלמשל הקהילות יוכלו להשים את הוראות הפניה לקהילה במקום שאנשים יפנו לנטפרי ושם יפנו אותם לקהילה

yzahn

@www כבר היה

zvizvi

@magicode אמר בהתייעצות עם הציבור לגבי אבטחת מידע בדפי חסימה.:

יש אפשרות להשים דפי חסימה לכתובת אישית.
ככה זה נראה.
https://netfree.link/block/external-url?url=https://send.magicode.me/

הבעיה שכדי לחזק את האבטחה אנחנו משביתים את ה JAVASCRIPT וגם את האפשרות לשנות את הלינק של ה TOP.
אני שואל את הציבור האם מישהו יודע על בעיה לאפשר את זה.
אני מיצדי לא רואה בעיה לאפשר. אבל אני חושש שמה אני מפספס משהו.
אם מישהו יודע על בעיה אני ישמח שתכתבו על זה.
תודה.

אני כן רואה בעיה לאפשר לשנות את האפשרות לשנות את הלינק של ה TOP. כי ככה יהיה אפשר לעשות פישינג.

הפיתרון פשוט, לשים את הדף הiframe על כל המסך, למעט סרגל עליון בראש הדף לכל הרוחב.
ולמנוע גישה מהiframe החוצה באמצעות Flags מתאימים.
https://www.w3schools.com/tags/att_iframe_sandbox.asp

הסרגל העליון עם הלוגו של נטפרי ימנע את בעיית האבטחה (הפסיכולוגית) כאשר משתמש ינסה לשנות את תוכן הדף, מכיון שעדיין יופיע למעלה בצורה בולטת שמדובר בדף חסימה של נטפרי.

אפשר גם למנוע אינטראקציה של המשתמש עם הiframe באמצעות CSS
pointer-events: none; (או כמובן בקוד js)

עריכה: אני רואה ש @yzahn כבר פירט חלק מהדברים שכתבתי.

magicode

@zvizvi
קיים כבר sandbox
אבל אם נניח חנות אינטרנט רוצה לעשות דף חסימה שישלחו אליהם את הפניות של האתרים
הם לא יכולים לעשות.
כי ה sandbox חוסם את האפשרות להזריק JS.

zvizvi

@magicode אמר בהתייעצות עם הציבור לגבי אבטחת מידע בדפי חסימה.:

@zvizvi
קיים כבר sandbox
אבל אם נניח חנות אינטרנט רוצה לעשות דף חסימה שישלחו אליהם את הפניות של האתרים
הם לא יכולים לעשות.
כי ה sandbox חוסם את האפשרות להזריק JS.

אפשר לשלוט בזה, אתה יכול להגדיר שכן אפשר להזריק js, אבל אתה חוסם אינטראקציה עם הiframe מבחוץ.
לכן כל הjs שהוא מזריק יהיה סטטי להצגה בלבד, ללא יכולת של משתמש הקצה ללחוץ ולנווט בתוך הiframe.

hagai.w

@zvizvi אמר בהתייעצות עם הציבור לגבי אבטחת מידע בדפי חסימה.:

@magicode אמר בהתייעצות עם הציבור לגבי אבטחת מידע בדפי חסימה.:

@zvizvi
קיים כבר sandbox
אבל אם נניח חנות אינטרנט רוצה לעשות דף חסימה שישלחו אליהם את הפניות של האתרים
הם לא יכולים לעשות.
כי ה sandbox חוסם את האפשרות להזריק JS.

אפשר לשלוט בזה, אתה יכול להגדיר שכן אפשר להזריק js, אבל אתה חוסם אינטראקציה עם הiframe מבחוץ.
לכן כל הjs שהוא מזריק יהיה סטטי להצגה בלבד, ללא יכולת של משתמש הקצה ללחוץ ולנווט בתוך הiframe.

לכאורה משהו כזה https://jsfiddle.net/r8vu9ht6/

התייעצות עם הציבור לגבי אבטחת מידע בדפי חסימה.

רוצה לנהל נכון את השימוש שלך באינטרנט? - פשוט תצביע..

"עדיף להיות אדם חכם עם מכשיר טיפש,

מאשר אדם טיפש עם מכשיר חכם"