Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Tiistai, 10.2.2004

IE-päivitys poistaa tuen URL-autentikoinnille

Microsoftin helmikuun 2. päivä julkaisema tietoturvapäivitys on aiheuttanut monille Internet Explorer -selaimen käyttäjille hämmennystä, sillä päivityksen jälkeen tunnus:salasana@domain.com-syntaksia käyttävät URL-linkit ovat lopettaneet toimintansa. Microsoft toteaa julkistamassaan artikkelissa poistaneensa tuen URL-käyttäjätunnistukselle täysin tietoisesti, koska uudemmissa IE-selaimissa ominaisuutta voidaan käyttää väärin yhdessä joulukuussa löytyneen tietoturvareiän kanssa ja harhauttaa käyttäjä toiselle sivustolle kuin minne hän luulee olevansa menossa.

Tietoturvapäivityksen käytännön toteutus ontuu, sillä kohdatessaan käyttäjätunnuksen ja salasanan sisältävän linkin Internet Explorer antaa lähes täsmälleen saman virheilmoituksen kuin siinä tapauksessa, että tavoiteltuun verkkopalveluun ei saada yhteyttä. Päivityksestä aiheutuvista ongelmista huolimatta Microsoft suosittelee Windows-käyttäjille kriittiseksi luokitellun päivityksen asentamista välittömästi.

URL-käyttäjätunnistus on jo vuosia ollut osa HTTP-standardia, joskin sen tukeminen on jätetty valinnaiseksi. Nähtäväksi jää, onko Microsoftin tekemällä linjauksella vaikutusta URL-autentikointia tukevien Opera-, Mozilla- ja Safari-selaimien kehitykseen.

oma, 10.2.2004 00:05. Lähde: Sektori

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 25 uutta / 25 )
pistettä.
Näytä vain kommentit joilla on vähintään
Tunnistus osa standardia?
Anonyymi kommentoija, 10.2.2004 01:10:20		 Pisteet: 0
Itse asiassa URL-käyttäjätunnistus ei ole osa standardia vaan yleisesti hyväksytty käytäntö selainvalmistajien ja -käyttäjien osalta.
Re: Tunnistus osa standardia?
Anonyymi kommentoija, 10.2.2004 01:49:32		 Pisteet: +1
Itse asiassa URL-käyttäjätunnistus ei ole osa standardia vaan yleisesti hyväksytty käytäntö selainvalmistajien ja -käyttäjien osalta.
Kyseessä on todellakin standardi. url on RFC:n mukaan mallia

scheme://extradata@hostname/polku

Näin tiivistäen.

Se mikä tässä on hyväksytty käytäntö on BASIC-autentikointitavan (WWW-Authenticate: Basic) käyttäjätunnuksen ja salasanan antaminen extradatana. Selainhan ei tuota urlia lähetä palvelimelle vaan tulkkaa sen itse, palvelin näkee vain että selain tahtoo /blaablaa/blaa:n ja antoi usernamen foo ja salasanan bar, palvelimen hostnameksi selain luulee piupauta.
Re: Tunnistus osa standardia?
Masa, 10.2.2004 09:43:53		 Pisteet: +1
Kyseessä on todellakin standardi. url on RFC:n mukaan mallia
Ei pidä paikkaansa. Ensinnäkin RFC:t eivät ole standardeja. Ne ovat esityksiä standardeiksi. Tämä on tärkeää pitää erillään, koska jos en aivan väärin muista, on todellisia standardeja määritelty vain noin kolmekymmentä kappaletta. Standardiesityksiä, määritelmiä ja tarkennuksia on sen sijaan noiden RFC:iden muodossa vaikka kuinka. Ja tämä kyseinen HTTP:n URL-muotoa käsittelevä osa löytyy RFC-dokumentista 1738 ftp://ftp.rfc-editor.org/in-notes/rfc1738.txt. Kyseinen RFC on "PROPOSED STANDARD" eli matkaa oikeaksi standardiksi on vielä jonkin verran, kuten dokumentista http://www.ietf.org/rfc/rfc2026.txt voidaan kohdasta 4.1. lukea.

RFC-dokumentissa 1738 mainitaan ensin yleinen URL:n muoto kuten oletkin sen jo esittänyt, mutta HTTP:n tapauksessa erityisesti mainitaan näin:

"An HTTP URL takes the form: 'http://<host>:<port>/<path>?<...'"

ja pari riviä alempana: "No user name or password is allowed."

Sen sijaan FTP:n URL-määritelmässä mainitaan, että FTP-URL:iin voidaan sisällyttää joko käyttäjätunnus, salasana, molemmat tai ei kumpakaan.

Lisää tietoja Internet-standardointiprosessista ja RFC:istä voi käydä lukemassa osoitteesta http://www.ietf.org/ .
weicco Re: Tunnistus osa standardia?
weicco, 10.2.2004 11:38:24		 Pisteet: +1
RFC-dokumentissa 1738 mainitaan
Mutta jos luetaan sitä oikeaa RFC:tä, eli 2396

http://www.ietf.org/rfc/rfc2396.txt



3.2.2. Server-based Naming Authority

URL schemes that involve the direct use of an IP-based protocol to a specified server on the internet use a common syntax for the server component of the URI's scheme-specific data:

<userinfo>@<host>:<port>

where <userinfo> may consist of a user name and, optionally, scheme-specific information about how to gain authorization to access the server. The parts "<userinfo>@" and ":<port>"mmay be omitted.

server = [ [ userinfo "@" ] hostport ]

The user information, if present, is followed by a commercial at-sign "@".

userinfo = *( unreserved | escaped |
";" | ":" | "&" | "=" | "+" | "$" | "," )

Some URL schemes use the format "user:password" in the userinfo field. This practice is NOT RECOMMENDED, because the passing of authentication information in clear text (such as URI) has proven to be a security risk in almost every case where it has been used.
Join me! Together we can rule the galaxy as father and son.
Re: Tunnistus osa standardia?
Masa, 10.2.2004 11:59:52		 Pisteet: +1
Mutta jos luetaan sitä oikeaa RFC:tä, eli 2396 http://www.ietf.org/rfc/rfc2396.txt
Seison korjattuna. Eipä RFC Editor näköjään osannut minua opastaa oikean dokumentin luo. Tuo 2396 näyttäisi tosiaan korvaavan kokonaan 1738:n.


Some URL schemes use the format "user:password" in the userinfo field. This practice is NOT RECOMMENDED, because the passing of authentication information in clear text (such as URI) has proven to be a security risk in almost every case where it has been used.
Tämä on mielenkiintoinen juttu. Kävin tuota dokkaria läpi enkä ainakaan nopealla silmäilyllä nähnyt missään, etteikö tuo määritelty muoto ja "NOT RECOMMENDED"-status olisi pätevä yleisesti kaikille eri protokollille. Tuo vanhempi dokumenttihan teki eron http- ja ftp-urlien välillä. Tämä uudempi näköjään yleistää käytännön ja samalla määrittelee, ettei <user:pass>-muoto olisi millekään protokollalle pakollinen. Toisin sanoen kaikki valitus siitä, miten IE:n käyttäjätunnus:salasana-parin tukemisen poistaminen olisi ollut purkkaviritys korjaukseksi, on oikeastaan turhaa, koska nythän selain on paremmin linjassa suositusten kanssa, koska tuo "NOT RECOMMENDED" on kuitenkin sellainen seikka, jossa pelaa varmemman päälle jättämällä ominaisuuden pois kuin tukemalla sitä.
Pornopiirit
Anonyymi kommentoija, 10.2.2004 20:08:56		 Pisteet: 0
Tuo asia ratkaistu pornopiireissä muuttamalla rekisteriä parista kohtaa. Se siitä sitten.
Rytmi merkitsee
Nonsense, 10.2.2004 08:00:23		 Pisteet: 0
Tässä näyttää olleen hienoa "rytmitystä" koko päivityksen suhteen:

Ensin MS ilmoittaa päivityksen tulevan joskus vasta myöhemmin kuin se nyt julkaistiin. Se julkaistiin kuitenkin "ajoissa" eli vain pari kuukautta aukon löytymisestä. No, nyt sitten kuitenkin todetaan että tämä vihdoinkin (kuitenkin "etuajassa", jos MS:n aikatauluun verrataan) saatu pätsi onkin tällainen "ai siinä on vikaa, no poistetaan koko ominaisuus"-räpellys, johon ei ole vaivauduttu edes tekemään kunnollista "virhe"ilmoitusta (tuollaisen url-autentikoinnin käyttäminenhän ei ole mikään oikea tekninen virhe, vaikka tietysti sen järkevyys voidaan usein kyseenalaistaa).

Ja itse url-autentikoinnista olen sitä mieltä että se on aivan perustoiminnallisuus selaimessa, ja lähinnä sitä käytetään (ja ehdottomasti kannattaa käyttää vain) avoimissa palveluissa, joissa ei syystä tai toisesta kuitenkaan käytetä normaalia anonymous-käyttäjää. Esimerkkejähän riittää, esim demo/demo- tai user/user-tunnukset joihin aina välillä törmää.
hanta Oikea ongelma
hanta, 10.2.2004 01:07:56		 Pisteet: 0
ainakaan minä en keksi muille selaimille yhtään syytä seurata MS:n tapaa ratkaista ongelma poistamalla koko ominaisuus. tuntuu, että oikeaa ongelmaa ei osattu korjata ja siksi selainta rampautettiin 'tietoturvan' nimissä.

jos sähköpostin liitteenä tulee viruksia, niin pitääkö outlookista estää sähökpostien lähettäminen ja vastaanotto, vai kannattaisiko vain estää liitteiden automaattinen ajaminen?

entä jos selaimen kotisivun pystyy kaappaamaan aiheuttaen harmia käyttäjälle, niin pitääkö selaimesta positaa oletussivu kokonaan. senhän voi korvata vaikka mainoksilla tai muilla tiedotteilla.

saa nähdä onko kädettömillä päivityksillä vaikutusta muiden selainten suosioon.
--
hanta
Re: Oikea ongelma
Anonyymi kommentoija, 10.2.2004 19:34:32		 Pisteet: 0
Kyllä on tehty suunnitteluvirhe jos tunnus ja salasana annetaan järjestelmässä urlissa. MS on järjissään poistanut tuon turhan ominaisuuden selaimesta.
hanta Re: Oikea ongelma
hanta, 10.2.2004 21:51:29		 Pisteet: 0
Kyllä on tehty suunnitteluvirhe jos tunnus ja salasana annetaan järjestelmässä urlissa.
ei anneta, vaan _voidaan haluttaessa/tarvittaessa antaa_.

MS on järjissään poistanut tuon turhan ominaisuuden selaimesta.
kuten jo sanoin, sille on ihan oikeaakin käyttöä.
--
hanta
Moby Re: Oikea ongelma
Moby, 10.2.2004 01:36:40		 Pisteet: 0
Oikea ratkaisu. Kenenkään ei pitäisi käyttää URL-käyttäjätunnusta luvattoman helpon väärinkäytön takia. URL-käyttäjätunnistuksen käyttämisen mahdollisuus pitäisi poistaa muistakin selaimista. Hantalla on hieman ontuvat vertaukset, kyseessähän nyt ei ole ollenkaan mitään esimerkkejäsi vastaavaa ja kyseessä on vieläpä oikea ongelma.
Re: Oikea ongelma
Anonyymi kommentoija, 10.2.2004 04:25:20		 Pisteet: 0
Oikea ratkaisu. Kenenkään ei pitäisi käyttää URL-käyttäjätunnusta luvattoman helpon väärinkäytön takia. URL-käyttäjätunnistuksen käyttämisen mahdollisuus pitäisi poistaa muistakin selaimista. Hantalla on hieman ontuvat vertaukset, kyseessähän nyt ei ole ollenkaan mitään esimerkkejäsi vastaavaa ja kyseessä on vieläpä oikea ongelma.
ftp://anonymous:testoman@ftp.foonet.fi
ftp:lle mukava tallentaa tuossa muodossa luukut, jotka moisella sisään päästävät. Ftp:llä turha tunnuksia (kuten http:lläkään) yrittää piilottaa koska ne liikkuvat salaamattomina kuitenkin. Yksi copy/paste ja sisään.

sftp testoman@ftp.foonet.fi
sftp:llä et sisään pääse kuin tuollaisella mielestäsi älyttömän vaarallisella urlilla.

Missä se ongelma siis on?
Re: Oikea ongelma
Anonyymi kommentoija, 10.2.2004 07:58:32		 Pisteet: 0
ftp://anonymous:testoman@ftp.foonet.fi ftp:lle mukava tallentaa tuossa muodossa luukut, jotka moisella sisään päästävät. Ftp:llä turha tunnuksia (kuten http:lläkään) yrittää piilottaa koska ne liikkuvat salaamattomina kuitenkin. Yksi copy/paste ja sisään.
sftp testoman@ftp.foonet.fi
sftp:llä et sisään pääse kuin tuollaisella mielestäsi älyttömän vaarallisella urlilla.
Missä se ongelma siis on?
Ehkä kannattaisi siirtyä jonkun ftp-ohjelman käyttöön. Selain ei ole paras tapa ladata tiedostoja ftp:ltä.
Re: Oikea ongelma
Anonyymi kommentoija, 10.2.2004 08:14:21		 Pisteet: 0
ftp://anonymous:testoman@ftp.foonet.fi
Ehkä kannattaisi siirtyä jonkun ftp-ohjelman käyttöön. Selain ei ole paras tapa ladata tiedostoja ftp:ltä.
Höpöhöpö. Useimmiten selain _on_ paras tapa.
- nopea
- helppo
- valmiiksi asennettuna
- tampiokin osaa kun lähettää linkin

//m
Re: Oikea ongelma
Anonyymi kommentoija, 10.2.2004 08:22:53		 Pisteet: 0
Höpöhöpö. Useimmiten selain _on_ paras tapa. - nopea
- helppo
- valmiiksi asennettuna
- tampiokin osaa kun lähettää linkin
//m
Jaha, joku höpäjää omiaan nopeudesta, eikä helppo tarkoita parasta. Selain, jos puhutaan IE:stä ei ole täysin yhteensopiva mm. unix listauksen kanssa eikä ole kovin nopeakaan koska toimii explorer prosessissa ja huonolla WinInetin wrapperilla. Eron huomaa heti kun käyttää vaikkapa ilmaista WS FTP Le versiota.

// Simo
Re: Oikea ongelma
Anonyymi kommentoija, 10.2.2004 11:53:38		 Pisteet: 0
Höpöhöpö. Useimmiten selain _on_ paras tapa.
Jaha, joku höpäjää omiaan nopeudesta, eikä helppo tarkoita parasta.
Mikäli imurointi selaimella toimii, niin kyllä pienien tiedostojen kohdalla on pirun paljon helpompaa käyttää selainta kuin ws_FTP:tä. Siinä vaiheessa varsinkin, kun tiedosto pitäisi saada jollekin tumpelolle ja syystä tai toisesta sähköposti ei käy. Asennuta siinä sitten FTP:tä puhelimen välityksellä. Äkkiä IE:n tehottomuudesta johtuva ajanhukka ei vaikutakaan merkitykselliseltä.

Ihan kaikki eivät siirrä langat punaisina CD-imageita 24/7.
Re: Oikea ongelma
Anonyymi kommentoija, 10.2.2004 08:43:53		 Pisteet: 0
Höpöhöpö. Useimmiten selain _on_ paras tapa. - nopea
Yksi lataili 500 Megan iso-imagea IE:llä, mutta sitten loppuvaiheessa kosahti ja iso jäi sille tielleen. Uusintayritys aiheutti saman. Sitten tyyppi tajusi kysyä neuvoa ja ftp-clientilla haku onnistuikin kerrasta.

Teoriassa, jos henkilö olisi jatkanut IE:llä yritystä, niin olisimme saaneet selaimen latausnopeudeksi ääretön, kun taas ftp-clientilla latausnopeus oli äärellinen. Joten ftp-clientti oli nopeampi.
Re: Oikea ongelma
Anonyymi kommentoija, 10.2.2004 11:45:58		 Pisteet: 0
Yksi lataili 500 Megan iso-imagea IE:llä, mutta sitten loppuvaiheessa kosahti ja iso jäi sille tielleen.
IE:n FTP-toteutus onkin syvältä. Operan kanssa en ole enää jaksanut nähdä vaivaa FTP-clientin kanssa.

Teoriassa, jos henkilö olisi jatkanut IE:llä yritystä, niin olisimme saaneet selaimen latausnopeudeksi ääretön, kun taas ftp-clientilla latausnopeus oli äärellinen. Joten ftp-clientti oli nopeampi.
Tuota, eikö ääretön latausnopeus ole parempi kuin äärellinen? Taisit tarkoittaa latausaikoja.

(Ei aivan äärettömiä latausnopeuksia mutta lähelle kuitenkin saa joillain clienteillä kun jatkaa imurointia lähes tiedoston lopusta)
Re: Oikea ongelma
Anonyymi kommentoija, 10.2.2004 20:29:16		 Pisteet: 0
Höpöhöpö. Useimmiten selain _on_ paras tapa. - nopea
Yksi lataili 500 Megan iso-imagea IE:llä, mutta sitten loppuvaiheessa kosahti ja iso jäi sille tielleen. Uusintayritys aiheutti saman. Sitten tyyppi tajusi kysyä neuvoa ja ftp-clientilla haku onnistuikin kerrasta.
Jaa... Minä tiedän kaverin jonka kaveri hake wareware saitilta Explorerilla 800megan imagea ja tuli ainakin kiljoonasosasekunnissa ja se purkautu ja asentu samalla.
En kummiskaan elä maailmassa jossa yksi onnellinen kokemus / onneton kokemus saa minut vielä kallistamaan kuppiani mihinkään suuntaa.
feenix Re: Oikea ongelma
feenix, 10.2.2004 10:10:23		 Pisteet: 0
sftp testoman@ftp.foonet.fi sftp:llä et sisään pääse kuin tuollaisella mielestäsi älyttömän vaarallisella urlilla.
<nipo>Tuo ei ole url sen enempää kuin user@domain.tld:kään. Tuo on vain tapa ilmaista käyttäjä ja host.</nipo>

Oikeasti IE:n FTP-klientti toimii osittain ihan hyvin, mutta on siinäkin ikäviä ominaisuuksia, kuten se, ettei se tajua linkkejä ollenkaan. Hakemistot ja tiedostot näkyvät, mutta teepä linkki johonkin hakemistoon niin IE ei näytä sitä ollenkaan. Kiva sitten selitellä ihmisille että hankkivat oikean ohjelman. "Mutkun toimii tää muualla ja ennenkin toiminut ja mitenniintääeiooteidänvika?"
jjx Re: Oikea ongelma
jjx, 10.2.2004 08:27:53		 Pisteet: 0
Ftp:llä turha tunnuksia (kuten http:lläkään) yrittää piilottaa koska ne liikkuvat salaamattomina kuitenkin.
Niin ja pankkikortin tunnusluvun voi huoletta kuuluttaa kaikelle kansalle, koska pari porakoneella varustettua mafiahemmoa sen saisi joka tapauksessa selville??

Kyllä se vähän eri asia viuhuuko joku salasana urlissa vai onko se mahdollista saada selville verkkoa sniffaamalla. Useimmilla selaimilla kun on esimerkiksi tapana tallettaa käyttäjän naputtelemia urleja koneen kovalevylle.
Re: Oikea ongelma
Anonyymi kommentoija, 10.2.2004 16:17:53		 Pisteet: 0
Ftp:llä turha tunnuksia (kuten http:lläkään) yrittää piilottaa koska ne liikkuvat salaamattomina kuitenkin.
Kyllä se vähän eri asia viuhuuko joku salasana urlissa vai onko se mahdollista saada selville verkkoa sniffaamalla. Useimmilla selaimilla kun on esimerkiksi tapana tallettaa käyttäjän naputtelemia urleja koneen kovalevylle.
Se varmaankin riippuu hiukan missä niitä urleja säilyttää. Tämä IE:n päivitys tuli ainoastaan koska http://www.test.com@www.huijari.com muotoisilla urleilla sai spooffattua käyttäjät 'väärään' paikkaan.

Yleensä salasanan jälkeen pölähtää joku cookie koneelle. Ei noitakaan pahemmin ole kielletty vaikka sisältävät suuren riskin. Eipä nyt ihan heti tule mieleen sivustoja joille kirjaudutaan .htaccessin kautta.

muutamalle muulle:
tuommoinen ftp-url toimii hyvin farustetuissa ftp-clienteissä + selaimissa.
Re: Oikea ongelma
Anonyymi kommentoija, 10.2.2004 16:20:31		 Pisteet: 0
Jatketaas vielä sen verta, että juuri kriittisissä palveluissa session id kulkee urlissa - sattumaa?
jst wget
jst, 10.2.2004 16:41:22		 Pisteet: +1
Oikea ratkaisu. Kenenkään ei pitäisi käyttää URL-käyttäjätunnusta luvattoman helpon väärinkäytön takia.
wget -softassahan on ihan hyötykäytössä tuo urlin vääntely(ko. tapauksessa shelli skriptissä), kun käännellään ja asennellaan Tomcatin kera:
------------------
deploy.sh
-------------------
...
compile.sh
wget --quiet --output-document=- 'http://manager:manager@127.0.0.1:666/manager/remov...'
...
THE GOAT CAN BE CANCELLED
hanta Re: Oikea ongelma
hanta, 10.2.2004 16:58:49		 Pisteet: +1
Oikea ratkaisu. Kenenkään ei pitäisi käyttää URL-käyttäjätunnusta luvattoman helpon väärinkäytön takia.
kenekään ei pitäisi käyttää ftp:tä sen olemattoman turvallisuuden takia?

URL-käyttäjätunnistuksen käyttämisen mahdollisuus pitäisi poistaa muistakin selaimista.
ei todellakaan, sillä sille on kyllä ihan oikeaakin käyttöä.

Hantalla on hieman ontuvat vertaukset, kyseessähän nyt ei ole ollenkaan mitään esimerkkejäsi vastaavaa ja kyseessä on vieläpä oikea ongelma.
siis kyseinen ongelma (josta MS:n sivuilla ei tietenkään mainita) oli se, että jos käyttäjätunnuksessa esiintyi jokin tietty merkki (oliko se nyt %01), ei IE näyttänyt ollekaan urlin loppuosaa. tällöin pystyttiin laittamaan urliksi esim.:
www.microsoft.com%01@www.vaarallinensaitti.com
jolloin IE:n osoiterivillä näkyi vain www.microsoft.com.

ongelma ei siis ollut urlissa olevat käyttäjätunnukset, vaan nimenomaan niiden käsitteleminen, jota ei syystä tai toisesta jaksettu korjata. niin, ja minusta esimerkit ovat aivan päteviä, kyseessä oleva ongelma oli IE:n bugi, eikä mitään muuta.
--
hanta