Kysymys

Saunavisio web-selain ja tietoturva

  • 10 tammikuu 2009
  • 2 kommenttia
  • 8668 katselukerrat

  • Kyselyiässä
  • 30 kommenttia
Tulipa mieleen tuossa, että millaisen tietoturva-aukon aiheuttaa käyttämällä tuota Saunavision web-selainta?
Voiko eksymällä väärään osoitteeseen avata kutsumattomalle pääsyyn omiin tallenteisiin, valokuviin, verkkolevylle ja ties minne?

2 kommenttia

Aiheellinen kysymys. Tutkiskelin access lokia ja huomasin että selain välittää HTTP referrer kentässä tiedon mistä osoitteesta tultiin (kuten selaimet yleensäkin).
Noissa tiedoissa näkyy olevan username ja password mukana, ne ovat siis boxin username ja password jotka on liitetty saunalahden päässä sinun tunnukseesi jotta boxi osaa näyttää sinulle omat tallenteesi. Kaikilla ei kuitenkaan noita tietoja näy, johtuen varmaankin siitä oliko aikaisemmin käyttänyt viihdekeskusta vai katsonut tallenteita.
Tutkiskelen asiaa yön pimeinä tunteina ja kerron miten pitää toimia jottei noita tietoja välitettäisi, mullahan on jo riittävästi teidän boxien tunnus/salasana pareja tallessa.  ;D

Tietenkin voisin tehdä portaaliin toiminnon jolla pääsisi katsomaan kaverin tallenteita mutta silloin saattaa alkaa kuulumaan örinää saunalahden suunnasta.
Paras olisi jos korjaisivat tuon HTTP referer ongelman eivätkä estäisi boxin selaimen käyttöä.
Kyllähän tuon boksin Javascript on aika rajoittunut, esim. tiedostojen selaaminen boksilta on estetty (jos joku saaanut toimimaan, ilmoita!). Lisäksi, boksi käy Mips-prosessorilla varustetulla Linuxilla, joten eiköhän sekin tietoturvaa lisää. Tuo Pekon mainitsema bugi on kieltämättä häiritsevä.

Osallistu keskusteluun