יום ראשון, אוגוסט 16, 2015

מוזילה תודה על פיטצר בין שנתיים שמאפשר לספאמרים לקבל הרשמות

חבר העביר לי קישור קישור לאוסף פיטצרים מדהים בפיירפוקס , מספיק להעביר את סמן העכבר מה שיבצע קישור לשרת (TCP לא HTTP).

כך שאם network.http.speculative-parallel-limit , network.dns.disablePrefetch  ו
network.http.speculative-parallel-limit לא שונו מהגדרות ברירת המחדל ספאמרים יוכלו לרשום את הכתובת שלכם ככתובת אמיתית , וחברות טובות לב אחרות יוכלו לרשום אותכם לשירות בתשלום ע"י עצם מעבר מעל קישור. 

למי שלא מבין את ההתקפה, תוכנה עונה למספר subdomains כאשר כל subdomain הוא בנויי לפי מזהה משתמש - כלומר אם אני שולח MMS או אימייל למשתמש xxx יהיה HASH מספיק יחודי בכתובת לדוגמה -
link מעבר על הקישור מבצע חיבור לשרת שנחשב כחיבור, מפה מי שמחזיק בשרת מחליט מה זה אומר מבחינתו (נגיד הרשמה לשירות).

גם אם לא לחצתם על אישור סופי בטופס הרשמה חברות מסויימות יעשו שימוש במידה שיקבלו - לדוגמה אתר איסתא בו מילוי חלקי של הפרטים עובר לשרת גם אם החלטתם בסוף לוותר על התענוג תקבלו שיחה מנציג המחירות שלהם, אבל בנתיים נראה לי שהם לא עוסקים בפעילות זדונית כמו ספאמינג.


אני לא אציין שמות של חברות שאני מגדיר כטובות לב,
אבל ישנן מספר חברות כאלה שטוענות שאתה נרשמת לשירות שלהם (אחזקת מכשירים, ביטוח משלים, הודעות פרימיום וכו') ובשיטת מצליח גורמות לך לאבד סכום כסף לא מבוטל.

לכן אני ממליץ לכל איש תוכנה חופשית שיכול ליפול לscam כזה (מחזיק מכשיר סלולאר ומשתמש ב פיירפוקס) לפתוח באג בהפצה על הגדרות ברירת המחדל.

אין תגובות:

הוסף רשומת תגובה