התייעצות עם הציבור לגבי אבטחת מידע בדפי חסימה.

nigun

@yzahn
יש חשש נוסף
שאם מישהו מצליח לפרוץ לחשבון של לקוח אחר (לא תמיד אנשים בוחרים סיסמה חכמה)
הוא יכול לשים את דפי הפישיניג שלו.
כיום גם אם מישהו פורץ, לא נראה לי שיש מידע רגיש בפנים ,למעט הקלטות תעבורה ישנות שמופיעים בפניות.

aknvtchtk

@nigun בשביל זה אפשר להגדיר מדיניות שיצטרכו לבחור בסיסמה עם סמלים ואותיות גדולות וקטנות
מסתמא זה מצריך פיתוח מסוים אבל זה יכול להוות פיתרון

מ. פינחסי

שאלת תם, של מישהו שהוא "בור" בכל העניינים האלה:

למה זה טוב?

למה @magicode משקיע בזה זמן?

מעלה ומוריד

@bbn אמר בהתייעצות עם הציבור לגבי אבטחת מידע בדפי חסימה.:

זה מביא את הדף של האתר ואי אפשר לעשות בו כלום

@magicode אמר בהתייעצות עם הציבור לגבי אבטחת מידע בדפי חסימה.:

אנחנו משביתים את ה JAVASCRIPT

yzahn

@nigun אמר בהתייעצות עם הציבור לגבי אבטחת מידע בדפי חסימה.:

שאם מישהו מצליח לפרוץ לחשבון של לקוח אחר (לא תמיד אנשים בוחרים סיסמה חכמה)
הוא יכול לשים את דפי הפישיניג שלו.

הוא יהיה חייב לשים את דף הפישינג שלו על אתר שפתוח בנטפרי. בניגוד למצב שהוא בעל הקו הוא יכול לשים את הדף בכתובת פנימית שאין לנטפרי שליטה עליה.

נטפריס

@magicode אם זה דומיין ייעודי זה מצויין, אבל אם זה אותו דומיין של נטפרי לא מפריע לך שמנהל קהילה יוכל לפעול ולדעת הכל על הלקוח?

hagai.w

https://security.stackexchange.com/
הם באמת מומחים

nigun

@hagai-w אמר בהתייעצות עם הציבור לגבי אבטחת מידע בדפי חסימה.:

https://security.stackexchange.com/
הם באמת מומחים

אבל הם לא יכולים לרדת לפרטי המקרה
זה לא שאלה קלאסית

WWW

@yzahn אמר בהתייעצות עם הציבור לגבי אבטחת מידע בדפי חסימה.:

והוספת הלוגו של נטפרי.

נראה שבוצע, או שכבר היה לפנ"כ?

אינו יודע לשאול

@מ-פינחסי אמר בהתייעצות עם הציבור לגבי אבטחת מידע בדפי חסימה.:

שאלת תם, של מישהו שהוא "בור" בכל העניינים האלה:

למה זה טוב?

למה @magicode משקיע בזה זמן?

כדי שלמשל הקהילות יוכלו להשים את הוראות הפניה לקהילה במקום שאנשים יפנו לנטפרי ושם יפנו אותם לקהילה

yzahn

@www כבר היה

zvizvi

@magicode אמר בהתייעצות עם הציבור לגבי אבטחת מידע בדפי חסימה.:

יש אפשרות להשים דפי חסימה לכתובת אישית.
ככה זה נראה.
https://netfree.link/block/external-url?url=https://send.magicode.me/

הבעיה שכדי לחזק את האבטחה אנחנו משביתים את ה JAVASCRIPT וגם את האפשרות לשנות את הלינק של ה TOP.
אני שואל את הציבור האם מישהו יודע על בעיה לאפשר את זה.
אני מיצדי לא רואה בעיה לאפשר. אבל אני חושש שמה אני מפספס משהו.
אם מישהו יודע על בעיה אני ישמח שתכתבו על זה.
תודה.

אני כן רואה בעיה לאפשר לשנות את האפשרות לשנות את הלינק של ה TOP. כי ככה יהיה אפשר לעשות פישינג.

הפיתרון פשוט, לשים את הדף הiframe על כל המסך, למעט סרגל עליון בראש הדף לכל הרוחב.
ולמנוע גישה מהiframe החוצה באמצעות Flags מתאימים.
https://www.w3schools.com/tags/att_iframe_sandbox.asp

הסרגל העליון עם הלוגו של נטפרי ימנע את בעיית האבטחה (הפסיכולוגית) כאשר משתמש ינסה לשנות את תוכן הדף, מכיון שעדיין יופיע למעלה בצורה בולטת שמדובר בדף חסימה של נטפרי.

אפשר גם למנוע אינטראקציה של המשתמש עם הiframe באמצעות CSS
pointer-events: none; (או כמובן בקוד js)

עריכה: אני רואה ש @yzahn כבר פירט חלק מהדברים שכתבתי.

magicode

@zvizvi
קיים כבר sandbox
אבל אם נניח חנות אינטרנט רוצה לעשות דף חסימה שישלחו אליהם את הפניות של האתרים
הם לא יכולים לעשות.
כי ה sandbox חוסם את האפשרות להזריק JS.

zvizvi

@magicode אמר בהתייעצות עם הציבור לגבי אבטחת מידע בדפי חסימה.:

@zvizvi
קיים כבר sandbox
אבל אם נניח חנות אינטרנט רוצה לעשות דף חסימה שישלחו אליהם את הפניות של האתרים
הם לא יכולים לעשות.
כי ה sandbox חוסם את האפשרות להזריק JS.

אפשר לשלוט בזה, אתה יכול להגדיר שכן אפשר להזריק js, אבל אתה חוסם אינטראקציה עם הiframe מבחוץ.
לכן כל הjs שהוא מזריק יהיה סטטי להצגה בלבד, ללא יכולת של משתמש הקצה ללחוץ ולנווט בתוך הiframe.

hagai.w

@zvizvi אמר בהתייעצות עם הציבור לגבי אבטחת מידע בדפי חסימה.:

@magicode אמר בהתייעצות עם הציבור לגבי אבטחת מידע בדפי חסימה.:

@zvizvi
קיים כבר sandbox
אבל אם נניח חנות אינטרנט רוצה לעשות דף חסימה שישלחו אליהם את הפניות של האתרים
הם לא יכולים לעשות.
כי ה sandbox חוסם את האפשרות להזריק JS.

אפשר לשלוט בזה, אתה יכול להגדיר שכן אפשר להזריק js, אבל אתה חוסם אינטראקציה עם הiframe מבחוץ.
לכן כל הjs שהוא מזריק יהיה סטטי להצגה בלבד, ללא יכולת של משתמש הקצה ללחוץ ולנווט בתוך הiframe.

לכאורה משהו כזה https://jsfiddle.net/r8vu9ht6/