Hallo.
Mich würde mal folgendes interessieren:
Computer: Windows XP, Teil eines Firmennetzwerks / Domäne.
"Eigene Dateien" und die Benutzerdaten sind im Netzwerk gespeichert, nicht lokal.
Lediglich Firefox wurde lokal installiert / benutzt. (irgendwo auf C
Browser: Firefox 3.6 ist der "vom Admin im Netz bereitgestellte" Browser.
Lokal, also durch den User selbst, wurde ein aktueller Firefox nachinstalliert
bzw teilweise auch als Portable Version genutzt
(Firefox 17-19 im relevanten Zeitraum)
Bei einer bestimmten Webseite wurde ein Login Cookie verwendet. (also "Angemeldet bleiben")
Rechner ist bei Abwesenheit "Gesperrt" oder ausgeschaltet.
Aber er ist physikalisch zugänglich. Boot von cd usw ist im bios ausgeschaltet und mit passwort geschützt.
Der "Eindringling" besitzt aber einen eigenen Netzwerk User Account, mit dem er sich regulär auf den Rechner anmelden könnte. (Miot den gleichen Rechten wie der eigentliche Nutzer)
Kann der "Angreifer" unter diesen Umständen die "Browsersitzung" des Opfers irgendwie benutzen/fortsetzen?
Kann die Session gestohlen werden?
Kann der Angreifer das Login Cookie "Entwenden und verwenden"
Ist der Cookie in dem Fall auf dem lokalen Filesystem oder in der Domäne gespeichert?
Die Webseite kann einen "Einbruchsversuch" vermutlich auch schwer erkennen, da die Rechner alle fast gleich sind und die externe IP identisch ist. möglicherweise könnte man auch irgendwie gleich die ganze "session" übernehmen.
Aber ist das bei der oben beschriebenen Netzumgebung ohne weiteres möglich?
Wäre es sogar möglich, das "Klartextpasswort" raus zu bekommen?
P.S. Mir gehts hier nicht darum, soetwas zu machen.
Ihr braucht hier keine Anleitung zu liefern wie man das eventuell macht.
Sofern es möglich ist, würde ich mich aber freuen, wenn ihr mir sagt, wo die Schwachstelle ungefähr liegt. (um dann da besonders aufzupassen)
Mir reicht aber auch schon ein definitives "Ja ist möglich" falls es möglich ist und ihr keine Auskünfte dazu geben wollt.
Tipps zu einer besseren Sicherheit nehme ich auch gerne an.
Als mir einiges "seltsam" vorkam und ich darauf kam, dass eventuell mein Account kompromittert ist, natürlich direkt mein Passwort geändert.
Jenachdem, wie hoch ihr die Gefahr einschätzt, muss ich aber auch alle anderen Passwörter ändern und darf auch keines mehr nach dem gleichen Muster verwenden.
Hab zwar nicht überall das gleiche Passwort, aber immer ein ähnliches Muster.
mfg
Mich würde mal folgendes interessieren:
Computer: Windows XP, Teil eines Firmennetzwerks / Domäne.
"Eigene Dateien" und die Benutzerdaten sind im Netzwerk gespeichert, nicht lokal.
Lediglich Firefox wurde lokal installiert / benutzt. (irgendwo auf C
Browser: Firefox 3.6 ist der "vom Admin im Netz bereitgestellte" Browser.
Lokal, also durch den User selbst, wurde ein aktueller Firefox nachinstalliert
bzw teilweise auch als Portable Version genutzt
(Firefox 17-19 im relevanten Zeitraum)
Bei einer bestimmten Webseite wurde ein Login Cookie verwendet. (also "Angemeldet bleiben")
Rechner ist bei Abwesenheit "Gesperrt" oder ausgeschaltet.
Aber er ist physikalisch zugänglich. Boot von cd usw ist im bios ausgeschaltet und mit passwort geschützt.
Der "Eindringling" besitzt aber einen eigenen Netzwerk User Account, mit dem er sich regulär auf den Rechner anmelden könnte. (Miot den gleichen Rechten wie der eigentliche Nutzer)
Kann der "Angreifer" unter diesen Umständen die "Browsersitzung" des Opfers irgendwie benutzen/fortsetzen?
Kann die Session gestohlen werden?
Kann der Angreifer das Login Cookie "Entwenden und verwenden"
Ist der Cookie in dem Fall auf dem lokalen Filesystem oder in der Domäne gespeichert?
Die Webseite kann einen "Einbruchsversuch" vermutlich auch schwer erkennen, da die Rechner alle fast gleich sind und die externe IP identisch ist. möglicherweise könnte man auch irgendwie gleich die ganze "session" übernehmen.
Aber ist das bei der oben beschriebenen Netzumgebung ohne weiteres möglich?
Wäre es sogar möglich, das "Klartextpasswort" raus zu bekommen?
P.S. Mir gehts hier nicht darum, soetwas zu machen.
Ihr braucht hier keine Anleitung zu liefern wie man das eventuell macht.
Sofern es möglich ist, würde ich mich aber freuen, wenn ihr mir sagt, wo die Schwachstelle ungefähr liegt. (um dann da besonders aufzupassen)
Mir reicht aber auch schon ein definitives "Ja ist möglich" falls es möglich ist und ihr keine Auskünfte dazu geben wollt.
Tipps zu einer besseren Sicherheit nehme ich auch gerne an.
Als mir einiges "seltsam" vorkam und ich darauf kam, dass eventuell mein Account kompromittert ist, natürlich direkt mein Passwort geändert.
Jenachdem, wie hoch ihr die Gefahr einschätzt, muss ich aber auch alle anderen Passwörter ändern und darf auch keines mehr nach dem gleichen Muster verwenden.
Hab zwar nicht überall das gleiche Passwort, aber immer ein ähnliches Muster.
mfg
