DigiNotar MITM-attacks

Door Little Penguin op dinsdag 6 september 2011 08:38 - Reacties (7)
Categorie: Security, Views: 4.764

Ik zal maar beginnen met een link naar een blog-item van Gervase Markham "Watch It And Weep".

Naar mijn mening blijkt hieruit overduidelijk dat er misbruik gemaakt is van de uitgegeven certificaten onder de DigiNotar ROOT CA.

Verder nog een klein stukje 'opinie': "Uit de berichtgeving blijkt dat DigiNotar onder andere de beveiliging, en dan op anti-virus-gebied, niet op orde had. Wat me echter ook niet zou verbazen, en wat ik eigenlijk tussen de regels al doorgelezen heb, dat is dat men qua scheiding van de kritische systemen met de normale gebruikerssystemen en met de systemen die aan het internet hangen gewoon geen enkele stap ondernomen heeft.", dat was een idee dat ik gisteren had - nu 1 dag later is er meer bekend:

Het lijkt er sterk op dat gemak meer leidend geweest is dan veiligheid:
4.4 Current network infrastructure at DigiNotar
The successful hack implies that the current network setup and / or procedures at DigiNotar are not
sufficiently secure to prevent this kind of attack.

The most critical servers contain malicious software that can normally be detected by anti-virus software. The separation of critical components was not functioning or was not in place. We have strong indications that the CA-servers, although physically very securely placed in a tempest proof environment, were accessible over the network from the management LAN.

The network has been severely breached. All CA servers were members of one Windows domain, which made it possible to access them all using one obtained user/password combination. The password was not very strong and could easily be brute-forced.
Bron: http://www.rijksoverheid....tion-black-tulip-v1-0.pdf

Naar mijn mening had dit nooit zo ingericht mogen zijn, de servers hadden slechts toegankelijk mogen zijn via een significant aantal menselijke handelingen en zeker geen onderdeel mogen zijn van het eenzelfde MS-Windows-domein.

Nog een stukje opinie: Dit rapport is op de front-page verstopt onder 'Overheid dwingt bij Microsoft vertraagde Windows Update', eigenlijk zou dit meer duidelijk voor het voetlicht gebracht moeten zijn/mogen worden.

iPad reader

Door Little Penguin op donderdag 28 januari 2010 22:00 - Reacties (20)
Categorie: Apple Talk, Views: 8.181

Na lang een hype op te bouwen is dan eindelijk bekend dat Apple daadwerkelijk een tablet-sized device aan gaat bieden en dat 't de iSlate (niet dus!) iPad gaat heten. Qua apparaat is het op het eerste gezicht vooral een opgeblazen iPod Touch, maar door het formaat kan 't ding toch weer wel wat meer.

Wat mij wel opvalt is dat de meeste tweakers niet direct positief zijn, dat zal ongetwijfeld veroorzaakt worden door het meer gesloten karakter van het gebruikte besturingssysteem (iPhone OS). Nu geef ik gelijk toe dat voor een beetje tweaker het apparaat erg gesloten is, maar dat geldt ook voor bijvoorbeeld de iPhone en die wordt dan weer wel door een groot aantal gevorderde computergebruikers omarmd. En de eerlijkheid gebied me te zeggen dat ik voor mezelf ook niet direct nut inzie van de iPad.

Lees verder »

X-UA-MakeCompatible

Door Little Penguin op woensdag 23 september 2009 00:00 - Reacties (7)
Categorie: WWW, Views: 6.361

Met de introductie van Internet Explorer 8 heeft Microsoft een nieuwe feature toegevoegd, namelijk de HTTP-header 'X-UA-Compatible'. Met deze header, waarvan overigens geadviseerd wordt om deze via het meta-element toe te voegen aan de broncode van de website, is het voor een webontwikkelaar mogelijk om de compatibiliteit van een site vast te pinnen op IE7 of om aan te geven dat de site altijd compatible is met de laatste versie van IE. (Naar mijn mening is deze HTTP-header niet direct een zegen voor het web of een webontwikkelaar die zich primair op de ontwikkeling van W3C-compliant websites toelegd - ik ben daar overigens niet de enige in, tweakers.net developer crisp heeft inmiddels ook het één en ander geschreven over deze header).

Wat men bij Microsoft niet voorzien had, dat is dat ook andere browserontwikkelaars wel eens van dez HTTP-header gebruik zou kunnen gaan maken. Er is wel gezinspeeld op gebruik van deze constructie door derden in hun eigen browser, maar dat is niet gebeurt.

Hoewel...
http://tweakers.net/ext/f/nzNtsjlvrBRAzEtDA9PNZEcH/full.png
Ziet dat er niet verdacht veel uit als IE, en is dat niet de CanvasPaint-site waar ik eerder over geblogd heb?

Deze constructie wordt nu ineens gepromoot door Google, maar dan niet om een bepaalde IE-versie te forceren. Nee, zij hebben gezocht naar een andere toepassing. Google zou Google niet zijn als zij deze toepassing ook niet zouden vinden:

HTML:
1
<meta http-equiv="X-UA-Compatible" content="chrome=1">



Op het eerste gezicht is er niets bijzonders aan dit stukje code te zien, maar er is wel degelijk een uitzonderlijke toepassing aanwezig. Deze code is namelijk helemaal niet bedoeld voor de Google Chrome browser, de code is namelijk bedoelt om gebruikt te worden in Internet Explorer. Nu is het niet mogelijk om met 1 regel een compleet andere render-engine in te bouwen, deze regel wordt dan ook geparst door recent uitgebracht beta-product van Google: Google Chrome Frame.

Met Google Chrome Frame, is het mogelijk om binnen de gebruikersinterface van IE één (of meerdere) tabs te hebben die gebruik maken van de Google Chrome technieken (WebKit+V8). Voor de gebruiker blijft het aanvoelen als de browser die men gewend geworden is, maar onderhuids is het voor de getoonde pagina veranderd in een moderne browser die (onder andere) voorzien is van ondersteuning voor SVG, het canvas-element en een sneller JavaScript-engine. Op de Google Chrome Frame ontwikkelsite staat overigens ook nog eens uitgelegd hoe men zo gebruiksvriendelijk mogelijk deze uitbreiding kan laten installeren.

Op dit moment zijn er nog diverse bekende kevers in de uitbreiding aanwezig, maar ik ga er vanuit dat deze snel geplet zullen worden. (Zo maakt men gebruik van de netwerk stack van de geopende IE, hetgeen mogelijk voor issues kan zorgen en verder zijn er wat kleine onvolkomenheden met downloaden via Google Chrome Frame. Ook is het nog niet mogelijk om te printen vanuit deze uitbreiding. Ook is het zinvol om IE na de installatie eerst te herstarten, anders werkt de meta-constructie niet - dit geldt in elk geval zeker voor IE7 en deze beta-versie).

In hoeverre men het voor elkaar krijgt om het aantal systemen waar de Flash-plugin op geïnstalleerd staat te evenaren is nog lastig te voorspellen. Google heeft wel een enorm bereik, maar of men gebruikers ook aan kan zetten tot het installeren van een extra uitbreiding is nog de vraag. Een snelle download-ervaring is dan wel belangrijk en men zal dus in de buurt moeten zien te komen van de 2MB die nodig is voor de Flash-plugin...

Verder is de uitbreiding alleen beschikbaar voor Internet Explorer, een groot probleem hoeft dit overigens niet te zijn, de andere 'grote' browsers (Mozilla Firefox, Opera, Apple Safari) hebben namelijk wel ondersteuning voor de genoemde technieken.

N.B. Zoals uit de screenshot te zien is, kun je het renderen door Google Chrome Frame ook forceren door cf: voor de URL te plaatsen - erg handig voor snel even testen van...

Duur JavaScript

Door Little Penguin op dinsdag 21 juli 2009 21:06 - Reacties (14)
Categorie: WWW, Views: 4.992

Ik ben geen fan van JavaScript als het echt niet nodig is, denk daarbij bijvoorbeeld aan interfaces van een ADSL-modem, routers en dergelijke. Er is niets op tegen om JavaScript als een hulpmiddel te gebruiken, maar in principe moet je met een browser zonder JavaScript-ondersteuning dit soort apparaten gewoon kunnen configureren.

Als je dan al JavaScript gebruikt, maak dan wel gebruik van de standaard API's, zoals het Document Object Model van het W3C. Een fabrikant van hardware deed dit echter niet en had zelfs een erg dure blunder gemaakt, door nu net Opera als browser uit te sluiten.


JavaScript:
1
2
3
4
if (is.opera)
{
window.location.href="config/error.htm";
}


Bron:http://my.opera.com/hallvors/blog/2009/07/20/most-expensive-javascript-ever

Het gevolg van deze regel in de web-admin interface van die server die men als demo-machine op proef had, dat was dat men bij dat bedrijf dus geen bestelling geplaatst heeft. :D

(Mijn) moraal: Als je anno 2009 nog aan browser-sniffing doet, dan hoor je niet thuis op deze planeet...
Edit: Er zijn uitzonderingen, zoals crisp ook aangeeft - ik bedoel dan ook met name het totaal uitsluiten van bepaalde browsers of het (op deze manier) aanbieden van een half-toegankelijke site...

paint.canvas

Door Little Penguin op maandag 29 juni 2009 23:24 - Reacties (15)
Categorie: WWW, Views: 6.248

Tijdens het speuren naar de diverse mogelijkheden van canvas kwam ik een grappig voorbeeld tegen van de implementatie van het canvas-element. Dat ging namelijk om een gedeeltelijke herimplementatie van de mogelijkheden van Microsoft's mspaint.exe in een cross-browser canvas-implementatie (waarbij ironisch genoeg Microsoft Internet Explorer nu net het canvas-element niet ondersteund). Deze implementatie gaat door het leven onder de heel erg creatieve naam 'CanvasPaint'

Overigens zijn niet alle mogelijkheden van MS-paint geimplementeerd, zo is het bijvoorbeeld niet mogelijk om een tekst in de tekening te plaatsen. Deze mogelijkheid wordt ook nog maar recent door een aantal browsers ondersteund...

Hieronder een schermafbeelding van de site in actie:
http://tweakers.net/ext/f/V5kqREhteQ693bQMO4R8xYZF/full.png

Aangezien dit meer een real world example is, kan het doorspitten van de code wat tijd kosten. Er zijn echter ook diverse voorbeelden van het gebruik van het canvas-element, die een stuk toegankelijker zijn: Zoals het artikel 'Creating an HTML 5 canvas painting application' op de Dev.Opera site.

Voor de tweakers die zelf aan de slag willen met het canvas-element, tot slot nog een hele handig cheat sheet waarop een groot deel van de mogelijk JavaScript methodes terug te vinden zijn - in de blogpost wordt zowel een PDF-, als ook een PNG-versie aangeboden, dus moet er altijd wel één te gebruiken zijn... 8-)

P.S. En als je nog niet genoeg van tekenen/ontwikkelen gekregen hebt: PaintWeb