Showing posts with label users. Show all posts
Showing posts with label users. Show all posts

20080211

Password: Impossible

Link

Aviram had a post on how he thinks password complexity rules are a bad thing. To a degree, I agree with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more complex you make password requirements, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more likely your users are to try to find some way to subvert that requirement (like Aviram did - change your password a bunch of times so that you can go back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original).

Unfortunately, however, passwords are a core part of application security. Until two-factor systems become convenient for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user and cost-effective for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provider, password complexity rules are a fact of life. Right now, if a user wants to use two factor aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're left carrying (or hooking up a webcam to) several RSA tokens, carrying a card in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir wallet, and ensuring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir cellphone is always on. Now, I like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of using SMS as a two factor verification as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 odds of me losing my phone and my wallet (which has all my passwords) at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time is pretty slim.

So, how I really feel about password requirements is that I do like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time being, if all sites used really low-threshold password requirements, it allows users to reuse passwords. So what if an attacker can't brute force cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir way into your bank account? Do you use that password on some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r system? If that site doesn't enforce a lockout or a change policy, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n how likely is it that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker is going to be able to find out that you use that ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r system? Do you use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same identity on multiple systems?

So what is a user to do? For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 typical user, I honestly don't know. I use a password safe with about a hundred entries in it. That password safe is on an SD/USB device I keep in my wallet. It's encrypted using AES, and a really long passphrase. I'm down to a very small number of passwords that I actually remember and know anymore. But it's a major inconvenience for anybody who's using passwords all day every day on different systems. To really protect your passwords, your safe needs to have a long passphrase and a short lock timeout. And that doesn't mean that attackers can't get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 passwords from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clipboard or submitted forms. For an ordinary user, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first response is probably "why bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r?"

Keychain is getting close to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of system integration that makes it easy for users to use. However, not everything on Mac uses Keychain. 1Password adds quite a bit of functionality to extend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ease of use. But that's still mac only. On Windows, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's KeePass, which has some nice system integration and some additional features (like TAN's) that make it really nice. And since it's open source, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are alternatives for Mac, Linux, and mobile devices.

But I still don't think that gets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reach to all users cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way it needs. Remembering to back up my password safe is a pain - I need to back it up at a few locations in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event that I lose my device, and I won't put it on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web where it becomes available for anybody else to download and bang on forever until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y unlock it. I would have to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 download with a really strong password, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n where am I going to keep that password?

And regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 90 day change policy - that is a good thing. Once an account is compromised, it could be months before it's actually used because, particularly with financial accounts (credit cards, online bank accounts, etc.), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y tend to be sold in lots on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open market. The person who compromised cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 account is highly unlikely to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one to ultimately gain from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 account compromise - it's just an asset to be sold to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 highest bidder.

20080130

Social Networking Threat: XPFA

Link

Okay - I didn't find a new kind of vulnerability or identify some brand new threat. We've seen lots and lots of cases like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se:

  • A teacher fired for material cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir MySpace page
  • People not getting a job because of information cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y put on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir Facebook profile
  • People complaining that somebody close to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m got cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir password and changed information on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir social networking profile
What surprises me is that actually exploiting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 non-existence of a profile isn't more prevalent. The idea that employers are looking at employees' or candidates' social networking profiles is no surprise. And if many people know that it's common, why don't we see more hijacking of a non-existent identity? If a person doesn't have a Facebook profile, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have enemies, why aren't enemies falsifying profiles?

This has two benefits for attackers. The first is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 revenge or get-even factor. If I can falsify somebody's private life and prevent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m from getting a job, promotion, or even a date, is that of value to me? Depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job, promotion, or date at stake, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 profile stalker could gain financially - think of all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 domain squatting that took place in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 early to mid 90's. Will we see a similar trend in individuals to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir "personal brand"? Will we see indie rock bands have to change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir band name when a disgruntled ticket buyer makes a fake version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir site on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 social networking site du-jour?

The consequences of this to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victimized person are clear. Their name has been slandered by somebody who knew enough information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim to make a convincing (yet false) page. They will have to take time to build a new, true identity. They will have to take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to explain to potential employers that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a fake out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.

But companies are at risk as well. Companies who use this practice could potentially miss cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best candidates, or be relying on false information. They could get rid of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best employees by relying on information cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't know to be real. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same story as small town teachers getting fired because parents found liquor bottles in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 teacher's trash bin on Tuesday night (whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r it was put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 teacher or not). And I don't think we know for sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re won't be litigation in early termination or whatnot because of falsified social networking information. (Most states are "right to work" states, meaning you can be fired for no reason, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential for this is low).

All that being said, a couple of colleagues and I came up with a new name for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability: Cross-Personality Framing Attacks or XPFA. We'll find out if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name gets any traction.

So how do ordinary users protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves? For those who do use social networking sites, I recommend using a different password for that site than any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, and change it frequently. Of course, I recommend this anyway. And limit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 visibility of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site. And don't put anything on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re you wouldn't want your mom to see.

For those who don't use social networking sites (or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most popular ones), I'm not sure how much protection cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re really is ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than claim your spot early. The problem is that you'd have to keep your profile public and up-to-date with completely benign information in order to get it linked high in search engines. Which is sad - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way to protect yourself from a fake social networking profile is to use social networking?

Perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best solution for users is not to make enemies. And cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best solutions for companies is to make sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site is for real before trusting it.

Incidentally, I neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r condone nor condemn employers using this practice. I don't necessarily like it, but in general, it is information that people want for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public to be aware of. If I were hiring somebody who had written a book, I would probably at least skim cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book before hiring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Is this that much different?

20071118

Web 2.0 for Social Engineering

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most frightening things about Web 2.0 is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 type and volume of information that people are willing to publish to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 general public and are willing to house in one location. While looking at some web 2.0 types of sites, you can begin to aggregate a lot of information about a lot of folks. Sometimes, used in an aggregate of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole population this can actually be useful. For example:

  • 80% of users on social bookmarking sites who link to site x also link to site y.
  • Same sort of metrics for podcast subscriptions or RSS/Atom subscriptions.
Now, when isolated to an individual user, however, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information can become somewhat damaging. Suppose as an attacker, I use a social bookmarking site to see who has bookmarks assigned for particular financial institutions. How many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m have webmail providers documented as well? And of those, how many actually use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same username on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 social bookmarking site as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir webmail?

A few more examples:
  • People will put anything on social meeting sites. However, this is often being used as background check material during job interviews. And that's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 side that might somehow be able to make some sort of an ethical justification for what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do (think of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 small towns where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y check teachers' trash for alcoholic beverage containers).
  • I'm no client side scripting genius, but for a popular portal site, I wrote a module in under 30 minutes which would enumerate all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r modules on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site, along with your email address, and send cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hacker site.
  • Micro-blogging sites make your whereabouts available to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 general public. If an attacker knows you well enough to know you keep it updated, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can plan when to visit your home.
  • Old-fashioned social engineering tactics such as dumpster diving are still quite effective. Coupled with internet social engineering, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se attacks can be even more damaging.
  • There are lots of examples of social meeting websites where an attacker makes a false profile of a victim with lots of incriminating (generally false) information.
  • Couple all this with your spending habits on auction sites, photos of what you do on photo sharing sites, to-do lists, personal blogs, chat room transcripts, RSS/Atom subscriptions, etc., and you can really begin to profile a well-connected person.
Now, it's easy enough for attackers to steal and forge identity. But how much damage besides that could one really do to somebody cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y know in person? Or better yet, how much damage could one do as an educational experiment of luring a visitor on a social website to become cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir friend, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n learn all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir new friend without directly asking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to give up any information?

How much information are you willing to put out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re?

20071016

No-Tech Getting Hacked

Link

While Johnny Long's talk about No-Tech Hacking at BlackHat and Defcon 15 was very informative (don't make things too hard on yourself), sometimes carrying around a camera, building trojan horses, or paying cash to a local thrift store for a 2.99 USD cable box is a little more work than you really want to go through. I'd like to introduce you to no-tech getting hacked.

Colleague is very particular about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computing environment at home. The "family computer", nobody runs as root, is frequently re-imaged, has quite a few best practices for keeping it safe, and it does not have any sensitive information. The family knows not to click links from emails, be careful where you visit, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole nine.

Well, Student (a family member of Colleague) is beginning to apply for colleges. College applications are expensive to fill out (I think it was about 50-75USD at a lot of places last time I looked), and depending on scores or interests, you might get little favorable response from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r night, Colleague got a phone call from University, asking to speak with Student. Student goes on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 call, and Colleague goes about some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r work. 20 minutes later, Student emerges, full of pride that Student had just completed a college application. Without having to pay for it. For free. Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phone. Not only that, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 caller ID said local directory assistance. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 college was in a different state. Student didn't ask for a callback number or any way of verifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recruiter was indeed from University. Whatever information cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 caller didn't have about Student before, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y certainly have now. (I believe Colleague is now in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process of filling out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paperwork for having Student's name changed to Undercover).

Sometimes you have to look for it. Sometimes, it looks for you.

20070918

Evil Mashup

Now, neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se services by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves are evil, but I was thinking about setting up a new kind of mashup for collecting sensitive information - more like trade secret kind of stuff.

scanR and qipit are service where you use your phone to take a picture of something you need to pass through OCR. You use your phone to send cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bits to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provider, who cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n does OCR on it, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y email you a PDF of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results. They recommend doing this for things like meeting notes on a whiteboard. Doing something like this is every bit as dangerous as putting sensitive business documents on Google Docs - why would you want to do it? Well, services like that depend on people who just assume cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're trustworthy. Now, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se services may or may not be completely trustworthy and secure from outside attack - but that's not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point.

Combine that with something like reCAPTCHA, and now you've got something really powerful. Use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reCAPTCHA model of displaying two images, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user solves both of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y solved OCR for your sensitive data mining operation. Human handwriting is pretty hard for a computer to work out, but a humans can generally work out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 meaning of sloppy writers by using context.

20070812

Content Restrictions - A Call for Input

Link

RSnake has had several conversations with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mozilla team on some security features he would like to see, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've latched onto is Content Restrictions. The idea is that a site can tell your browser "I only serve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se types of content, don't accept anything else from me" RSnake has asked folks to provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir input on what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'd like to see.

Here's how I'd like to see that pan out:

  • The content-type restrictions probably should not go into an XML file, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 browser should have serious restrictions on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 XML, such as not expanding entities, etc. If I can't trust cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site for some reason, how am I to trust that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 XML won't DoS my browser?
  • The content-type restrictions should probably come in headers (a la Etag's), not on a file on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site (a-la robots.txt), because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 restrictions may be different in different paths of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site - consider a single host that hosts several applications, each of those may return different types of content. This would also give applications cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to dynamically change those restrictions (unfortunately, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's header injection or response-splitting, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack can certainly mangle cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se responses as well).
  • If I can tell a browser only to trust me so far, it would be wonderful to be able to extend this even furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. For example: don't trust 302's from me that take you out of my domain (WOW!), don't send back any requests to me that wouldn't also send Cookie n. Only POST to me if post parameter n is included, don't ever GET, HEAD, TRACE, to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se paths - only POST.
And cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n this is off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic, but one feature I'd love to see is for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Yes or OK button to default to doing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right thing. For example, if a site has an expired certificate, if you click Yes, Yes means to do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very bad thing we just told you not to. Anti-phishing says Click Yes to visit this naughty site we've already determined is naughty. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y know it's naughty, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y know what it's trying to spoof, so make Yes take you to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real site, not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fake one.

Be sure to send your input to RSnake.

20070719

Servlet Filter for httpOnly

Link

Well, zot! It turns out that you can still get at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cookies by XHR's getAllResponseHeaders().

But since it's still not really that harmful to add it, I've thrown togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a servlet filter for adding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attribute when addCookie() is called. Except for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 httpOnly attribute, this is no safer than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existing addCookie - meaning if you had header injection flaws before, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're still cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. Also, I didn't read RFC 2109 really carefully, so this may break version 1 cookies (however, RFC 2109 cookies are still considered experimental, and you wouldn't be using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m by accident).

Now, your container probably has control over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 session cookies, and those get added after all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filters run, so you'll still need to consult your app server's documentation to see how to get it to set httpOnly on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 session cookie (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one cookie that needs it most).

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, this does not check for cookies being added by addHeader() or setHeader(). Whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r you want to add similar checking to those or not is purely up to you.


public class HttpOnlyResponseWrapper extends HttpServletResponseWrapper {
private static SimpleDateFormat cookieFormat = new SimpleDateFormat("EEE, d MMM yyyy HH:mm:ss zzz");

public HttpOnlyResponseWrapper(HttpServletResponse res) {
super(res);
}

public void addCookie(Cookie cookie) {
System.out.println("Adding cookie");
StringBuffer header = new StringBuffer();
if ((cookie.getName() != null) && (!cookie.getName().equals(""))) {
header.append(cookie.getName());
}
if (cookie.getValue() != null) {
// Empty values allowed for deleting cookie
header.append("=" + cookie.getValue());
}

if (cookie.getVersion() == 1) {
header.append(";Version=1");
if (cookie.getComment() != null) {
header.append(";Comment=\"" + cookie.getComment() + "\"");
}
if (cookie.getMaxAge() > -1) {
header.append(";Max-Age=" + cookie.getMaxAge());
}
} else {
if (cookie.getMaxAge() > -1) {
Date now = new Date();
now.setTime(now.getTime() + (1000L * cookie.getMaxAge()));
header.append(";Expires=" + HttpOnlyResponseWrapper.cookieFormat.format(now));
}
}

if (cookie.getDomain() != null) {
header.append(";Domain=" + cookie.getDomain());
}
if (cookie.getPath() != null) {
header.append(";Path=" + cookie.getPath());
}
if (cookie.getSecure()) {
header.append(";Secure");
}
header.append(";httpOnly");
addHeader("Set-Cookie", header.toString());
}
}

public class HttpOnlyFilter implements Filter {
private FilterConfig config;

@Override
public void destroy() {
this.config = null;
}

@Override
public void doFilter(ServletRequest req, ServletResponse res,
FilterChain chain) throws IOException, ServletException {
System.out.println("Got here");

HttpOnlyResponseWrapper hres = new HttpOnlyResponseWrapper((HttpServletResponse)res);
chain.doFilter(req, hres);
}

public FilterConfig getFilterConfig() {
return this.config;
}

@Override
public void init(FilterConfig config) throws ServletException {
this.config = config;
}
}

Firefox adds httpOnly attribute support!

Link

Thanks to Alex for discovering this for you. This is a feature that security people have been waiting for for a long, long time. Only I thought it was going to be much longer before it was available. I'll go over what httpOnly is, why it took so long, and what you should do about it.
Ordinarily, Javascript has access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cookies that a user sends to a particular website. So you can access those cookies on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page itself from javascript via document.cookie. This is actually rarely necessary, but a handful of sites still use it, so it needs to stay available.
The problem with this is that if a site has a cross-site scripting vulnerability, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n an attacker can gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cookies by cross-site scripting. For example, injecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following script will send cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cookies for a site (including session tokens) to evil.com:


document.write("");

Internet Explorer added support for a cookie attribute in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir cookies called httpOnly. By setting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 httpOnly flag on cookies, javascript is not allowed direct access to those cookies with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attribute set. This is also why all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TRACE XHR vulnerabilities in IE were such a big deal - TRACE will send cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cookies, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 response from TRACE is just text - so javascript has access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cookies, only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're not cookies in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 response - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're just text.
Firefox has been very slow in adding support for this. There was a large discussion about it, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reason cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were slow to add it is because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cookie store would have to be updated to store that information. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are so many third-party applications that use access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Firefox cookie store that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y couldn't update cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 format cleanly. Now, that didn't prevent you from being able to use it before - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attribute was just ignored in Firefox.
Now that it's finally available, use it. If you're constructing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Set-cookie headers by hand, you can just add ;httpOnly yourself. If you're not, .NET allows you to set cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attribute by configuration, and in some containers can add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attribute to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 auto-generated session tokens cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves, or you can use a filter to add it. This will prevent direct access to session cookies in IE and newer versions of Firefox from accessing cookies directly by javascript, which is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more serious attacks available by cross-site scripting (clearly not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only one.)

20070712

Firefox 3.0a7 URL Highlighting

Link

I had a post on why I think highlighting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 URL is a bad idea, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n RSnake had an additional problem with it.
Here's a screenshot of why I think this is a bad idea:

The screenshot is from one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full-disclosure URL's that actually redraws cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content. As you can see, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host is in dark here, so we know exactly who is rendering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content can be whatever cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker wants it to be.

I'm sure anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r argument against it would be that users simply don't pay attention to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 URL bar. However, I think that's a bogus idea - just because not all people use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security features doesn't mean cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y shouldn't exist. But in this case, I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host highlighting is actually a step backwards - if it were a really good phishing attack, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 URL bar would actually highlight cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim site while what's on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page itself is completely in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 control of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hacker.

20070709

This is Why Our Job is Hard

Link

A colleague sent me this.

From Business Week's July 9 Issue in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Annual Retirement Guide:

HOW CLOSELY WILL THE ADVISER monitor your plan? Through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet, 401(k) investors can keep an eye on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir account daily if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y so choose. Your adviser should be watching regularly, too, and sending you alerts if you need to rebalance or make ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r changes. The adviser can best stay informed if you hand over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 password to your account or, at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very least, forward your monthly statements. In most cases, advisers do not actually make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trades, but racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r notify you, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n follow up to be sure you've pulled cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trigger.
Nice. I've got a better recommendation. If your financial adviser needs your passwords to advise, advise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to take a hike. Because somehow I doubt that anybody has advised cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to use something safer than a sticky note to store your credentials. In fact, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y probably keep that stuff on a spreadsheet. And if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're a really good adviser, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y put it on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir mobile phone, too.

It doesn't matter how much you trust your financial adviser not to steal your money. It matters how much you trust everybody who your financial adviser comes into contact with.

No wonder it feels like an uphill battle.

20070606

Firefox 3 Screen Mockups - One fix is no fix

Link

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential new features of Firefox 3 is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 location bar will be substantially changed. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changes possibly on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plate is to gray out all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 location bar except for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 domain + tld of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content. I have two problems with this:

1) If mysite.com has an XSS vulnerability, attackers, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than sending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user to anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r site, will typically use mysite.com itself to render cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new page cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want. So cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result would look something like:
http://www.mygoodsite.com/redirect.foo?url=[maliciousscript]
See cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image at http://people.mozilla.com/~faaborg/files/20070602-firefox3UIFeatures/locationBar.jpg
And it would look like I was visiting goodsite.com. Now, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir reasoning for doing it was sound - sometimes when you visit a malicious site, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y use visual cues in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 location bar to make you think you're not at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious site.
2) The location bar doesn't tell you where all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content is coming from.

20070605

Beef up your browser against phishing attempts

Link

Or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n again, don't click links in emails or trust links on blogs.

It's really sad when those who have at least a modicum of technical savvy, who write blogs to those who generally don't, tell those who don't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very wrong thing to do. I'm not saying anti-phishing tools are inherently bad, but depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m is.

20070507

A Sad Story

A few weeks ago, I was helping a friend shop for a used car. When my friend started asking questions about how to pay, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y preferred a cashier's check, but if it was on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weekend and you couldn't get one, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would take a personal check if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could verify that your account had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 funds to cover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 check. The remainder of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conversation went something like this:

Me: So how do you verify?
Salesman: Oh - we can just verify it online?
Me: Wow! What service do you use to verify it? [I was shocked such a service might exist.]
Salesman: Oh - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's no service - you verify it for us.
Me: So how do you handle that?
Salesman: We just ask you to sign into your bank account and show us cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 balance.
At this point, I'm already shocked, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it gets worse:
Me: So how many people refuse to do that for you? I mean, people turn you down on that offer, right?
Salesman: As long as I've worked here, I don't remember it happening once.
So, to buy a car on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weekend or after 3pm, I'm supposed to log in to my bank account from a public computer with at least one complete stranger watching over my shoulder, and probably with cameras all over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 place?

There were a couple of attack vectors from this:
  • If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want you to do this from is a "shared" computer - i.e., one somewhere central - not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 salesperson's computer, walk in pretending to want to buy a car. At home, you set up your fictitious bank account and mention to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 salesperson that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y require uber-security - so you have to plug in your thumbdrive as anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r verification factor (or you're uber-paranoid and don't know your own password and put it on a password safe - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y evidently don't know that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 uber-paranoid wouldn't put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir password safe on an untrusted computer anyhow, so it'd fly). Thumbdrive has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keylogger, and you just have it phone home. Since this machine is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only one used for verifying account balances, you'd get a pretty good frequency - particularly on weekends.
  • If you're asked to sign in from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 salesperson's computer, you just find out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email address policy - how do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y construct cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir addresses. Get as many business cards as you can while you're cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, call numerous times getting a different employee name each time you call, divide it up - do you need service? Or to buy a car? Or just general information? You'll probably get a different name each time, assuming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 place is big enough. Then email every address you got, include your trojan cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. Any place that asks customers to sign onto cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir bank account on a public computer probably would never know you installed a trojan.
And cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, (I alluded to it earlier) - what is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir criteria for trusting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value? Do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 URL? Or do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y just look over your shoulder? Could I make up my own bank and host it at home? Or would cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y believe me if I printed off my account balance and brought it in?

20070217

Using Evil for Purposes of Good?

I understand this is a really, really limited use, and that something really needs to be done about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem. I'm not advocating keeping it around because I found an uber-limited use for it.

The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r day I saw something that really annoyed me, that could actually go away with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CSS History Hack.

My colleagues and I use del.icio.us to send bookmarks to each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r because we can subscribe to RSS feeds of those in Firefox. If you label a link with for:<>, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link will show up under Links For Me, and you can subscribe with an RSS feed.

Unfortunately, when you actually visit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can't tell when you've visited cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page or not, so it shows up in a "new" listing at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top, regardless of how "new" it really is to you.

If del.icio.us used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CSS History Hack, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could go through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're going to show you and remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "new" links so you don't have to remember by name something you visited months ago.

But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n again, an easier fix would be to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 links in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RSS feed go through del.icio.us first so that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can record on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir side that you've seen cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site. This is a more elegant solution, too, because you might not always visit shared links from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same machine.

20070205

Web 2.0 As a Society Anti-Pattern

Political scientists will kill me for over-simplifying it, but Social Contract Theory is almost universally accepted as at least to some degree true. Regardless of whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r you think people popped up in individual vacuums and formed societies later, were created in societies, or evolved from already social animals, it's pretty universally agreed that today that we live in societies with governments with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 understanding that we give up a few of our freedoms in order to protect many of our freedoms. Some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se freedoms are really, really basic, so this is independent of most types of government - i.e., you give up your ability to kill ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs ungoverned in order to protect your ability to live.

If you made it this far without commenting that we live in governments because some really strong people managed to manipulate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remainder, congratulations....

When I refer to Web 2.0, I don't really mean so much cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technological aspects of it (AJAX, tagging, etc.), but more of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 social aspects - sharing "anonymously", everybody owns cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content, not a single entity, blogging really personal information, etc.

The interesting irony of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 social aspects of Web 2.0 is that it seems to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inverse of normal Social Contract Theory. Users give up many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir rights in order to protect a few. If you take a handful of examples such as social bookmarking, online journaling, and social exchange sites like MySpace, here's what people (knowingly or unknowingly) generally give up:

  • A pretty high degree of privacy
  • Varying degrees of security
  • Some degree of anonymity
  • A small degree of personal safety (giving up personal information and inherently trusting ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs leaves people open to situations cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y might not ordinarily put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves into)
But I'm not yet convinced what people hope to get out of giving those things up. Maybe it's some amount of convenience (social bookmarking sites can be better search engines, maybe), or maybe some amount of hubris (can I reveal something really personal making my MySpace page uber-popular?), or possibly this is all an extension of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 anonymity that Web 1.0 provided. People who were ashamed to socialize in reality began to do so in chat rooms and forums and stuff. There was some degree of anonymity, and a lot less shame cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'll never know I'm ugly by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way I type, right?) But what has happened as a result of that is that online journal-ers (I count this distinct from professional blogging) give out really personal information to a whole lot more people than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web.

A colleague says that most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rights people give up now are more a result of ignorance than it is a willing belaying of rights in order to gain some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. I suppose maybe he's right, but it just seems so odd to me to give out really personal information, even under a pen-name, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interest of .... something ....

Am I wrong? Am I reading far too much into a lot of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 social sites? I don't follow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, so I'm really not "in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 know" on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir value.

Profiling via Social Sites

I know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y probably weren't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first, but Firefox is probably cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most popular browser to support "Live Bookmarks" - an RSS feed as a bookmark. And coupled with bookmarking sites (social and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise), you've got a portable bookmark list. I don't have to keep a thumbdrive with my bookmarks anymore, I just point my browser to a feed and I'm set.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past, I didn't use bookmarks at all. It was easier (generally) to remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right search terms or URL's. And in order to use my bookmarks on multiple machines, I had to copy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m around. Before Live Bookmarks, using a bookmark site wasn't all that advantageous, because to get to all my sites, I still had to make two visits - first to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bookmark site, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site I really wanted to go to.

But now, things like Google Bookmarks, ma.gnolia, and del.icio.us allow you to bookmark, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n get an RSS feed of those bookmarks, and coupled with a Live Bookmarks type feature, you're always up-to-date.

The downside of this is that if you make your links public (I'm assuming del.icio.us is still most popular - in which case, you have to deliberately make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m private), that people can begin to profile you. How is this dangerous?

  • A little searching on del.icio.us will show you people who bookmark login pages you're interested in
  • You get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user names of those people
  • You can see what ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r login pages cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've got bookmarked
  • Any of those an email site? You might be able to guess that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same login on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir email as on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 social bookmarking site
  • Spearphishing accomplished. Low return rate (you won't get many combinations of a known creditor/email provider), high hit rate (of those you find with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same combination, a pretty high volume of those will be hits).
With blogging sites, it doesn't take too many posts to figure out what services people are "married to" Those who are on Blogger have a pretty high likelihood of using ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Google services. People who blog on Yahoo might get email and bookmarks from Yahoo. If you can determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 geographic region for a person (watch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timestamps on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir blog postings or when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir emails hit mailing lists), you can limit ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r things like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir financial institution.

All this being said, you can bet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys are working on ways of using API's or botnets to warehouse as much of this data as possible. (Manual searching on del.iciou.us takes a long time, but it can be automated and distributed for warehousing and later analysis).

So how do you protect yourself?
  • If your blog is your "diary", make it private and limit to whom it's shared.
  • If you feel you must have a bookmark to your really sensitive stuff online, make it private, or use a private bookmarking site.
  • Don't know your own passwords. Use a password safe like keepass (or keepassx for *nix or mac), or Keychain on Macosx that will generate a really hard password and associate it to a URL.
  • Don't use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same login name for all your services.
  • Come up with a good handle that's not related to your real name, don't include your birth year in it, and make sure your email alias on big email services isn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same.
From a hacking standpoint, this is prolly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lamest academic post I've done. But to be honest, as I started trying to do some of this engineering myself, I just felt "dirty" (see Jeremiah Grossman's October 2006 survey question on testing for XSS on public sites). So I didn't spend a great deal of time digging.

20070203

Annoying Gmail Flaw

Go to GMail. Look in your inbox. You get any of those newsletters with images in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m? By default cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 images don't show. But as soon as you select "Print" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 images show in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 print preview. That's annoying.

Now, that might not seem like a big deal. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's no reason why an image couldn't uniquely identify you. Or maybe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image is linked off anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r site, and executes an XSRF. And Print is between "Forward" and "Add so-and-so to Contacts". What if I meant to forward to a spam filtering service and fat-moused.

Sorry, Google. I've complained through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper channels before, but no response yet.

I know, small, but still annoying to me. I don't want images displayed unless I explicitly ask to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m displayed.

20070106

Infosec Frustration

I was reading a trade mag (I know - you should all slap me just for that) and just got really really discouraged at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture of information security right now. I understand it's a trade mag, and trade mags are "free" so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have to be paid for somehow. And cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're paid for is advertising. And I know that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are different forms of advertising. But this was still bad. So please understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bias of this post is just from reading one rotten mag.

It seems that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 solution to information security woes in all sizes of enterprises is to buy more products. We need to test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability of our VPN's and IPS's to stand up to massive amounts of traffic while properly dealing with rotten traffic. We need more management systems to manage our antivirus definitions. We need threat modeling software to model our threats. We need BCP software to help us develop our BCP. And we need training and additional resources to manage those things.

I understand that much of this is useful. When it comes to buying something off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shelf or baking your own, often it makes more sense to buy something off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shelf and get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 support that comes with it. And many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se products are completely legitimate.

My heartburn with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture today is that we seem to be relying on products instead of professionals. What hits most closely to home for me is that we're quite prepared to pay mega-bucks for an application firewall, including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of terminating SSL early or having umpteen gillion deployments of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 app firewalls so we can terminate SSL late; but we're not that interested in educating our developers to just write better code. For users, we're prepared to install personal firewalls, antivirus, anti-spyware, anti-popup, anti-phishing, but we're not prepared to ignore emails with words like "enlarge" or "great rates" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject, or practice safe habits like never ever clicking a link in an email, and we're certainly not willing to give up pr0n, gambling, or war3z.

I'm beginning to come around to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry's point of view that user education is a lost cause. A common phrase in our profession is that "if you make a product more idiot-proof, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'll just make a better idiot." On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, things like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PDF UXSS scare are a lot less scary if our users use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internet with a bit of prudence. And in large enterprises we can protect our internal users and (more importantly) our customers by taking some time and writing better software.

Please believe me - I know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r non-advertising funded infosec mags out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. And those mags seem to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thinkers. I just had to vent that information security "professionals" are quickly falling into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same trap that developers fell into 8-10 years ago - listen to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor and buy this one product, all that ails you will be cured.

20061226

Google to Rule cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 World?

None of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information I'm giving in here should be new news. And cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 title of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post should be no shock. But for several weeks, I've been piecing togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r what Google might be up to.

First, all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 events:

  • Google is buying up (has bought up) a bunch of dark fiber. (See a CNET article on it. There are plenty of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs.)
  • Google is backing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Linux BIOS project. (See cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google blog post on it. And again, plenty of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs.)
  • They've bought up 520 acres near Charleston, SC. (See here. There are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs.)
  • They have all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application makings of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own entire platform. Mail client, news reader, word processor, spreadsheet, graphics, mapping, etc.
  • They have a really, really, really good grid algorithm. I don't know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of devices Google search runs on, but my understanding is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've got thousands of cheapo PC's that do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual search work.
What started all this was that several weeks ago, I decided I almost don't need cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internet anymore. If I could use Gmail and Google Reader, what else do I need? I keep in touch with those who know me by email and IM, both of which Google provides, and I keep in touch with those who don't know me by RSS.

So what a co-worker and I decided Google was up to was a cheap piece of hardware (yes, anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r web kiosk, WebTV, sort of thing). It would be very inexpensive because you won't own cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hardware. You'll be hooked up to "googlenet", not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internet. This will be great for families because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've got what's known to be "safe". You don't own cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hardware, because when you're not using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hardware, it becomes anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r node in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google Grid - so it's performing search queries. And Gmail can continue to provide "unlimited" storage, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'll have thousands and thousands of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se pieces of hardware distributed all over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 country (world?).

So in short, you get:
  • Access to "googlenet" - a really fast, really safe internet. No pr0n, no war3z, no g4mbling.
  • A box that hooks up to your TV.
  • Lots of apps that are constantly being updated.
  • All of this for really cheap because it's mostly funded by Google Ads.
And Google gets:
  • Lots more devices in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir grid for performing search.
  • Lots more distributed disk space for providing back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir users.
  • A really compelling alternative to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internet.
  • Lots more really, really, really focused advertising dollars.
  • World domination?
The thing is, I say this as if it's a bad thing. But for those with families, if you can get all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefits of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internet without all its inherent dangers, isn't that a good thing?

20061127

Stopping Password Theft By Keyloggers - You Can't

Link

RSnake had a link to an article on fooling keyloggers. RSnake had a couple of problems with it, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's one that seems to have escaped everybody - if an attacker has enough access to your machine to install a keylogger, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can do more than just install a keylogger.

With most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'sploit kits I've looked at, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bots didn't only send keystrokes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y sent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window to which it was applied - so if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 caret moves widgets, you get a notification before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keystrokes. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lesser of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se, only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window name is recorded, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re to record caret focus changes.

Also, if an attacker can get a keylogger working, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can certainly install browser plugins to record form information prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form being posted. The simplest (but probably least effective) means is to install a local MITM proxy and set cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 browser's proxy to that. However, that would require breaking SSL.

So long story short, if an attacker has enough access to your machine to install a keylogger, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keylogger is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 least of your concerns. If I have that kind of access to your machine, I don't want cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keys you pressed, I want cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data you're sending and receiving.