Carsten Troelsgaard <carsten.troelsgaard@mail.dk> wrote:
> Er der nogle af jer som kan g? lidt i detaljer om de mere konkrete
> forhold der g?r, at link modtaget i en mail kan manipuleres eller
> skabes til at v?re fjentlige?
Godt spoergsmaal. Det burde faktisk besvares i OSS'en. Som
baggrundsinformation vil afsnit 4.6 og 4.9 vaere at anbefale.
http://sikkerhed-faq.dk/
Det drejer sig naturligvis foerst og fremmest om, at det indhold der
bliver gjort tilgaengeligt, paa en eller anden maade kan faa software
paa din PC til at goere som angriberen havde taenkt sig.
Det konkrekte indhold kan saa vaere forskellige ting, blandt andet
ActiveX komponenter eller JavaScript kode. IE har haft utallige fejl
gennem tiden som kunne undgaas blot ved at deaktivere disse to
egenskaber, men i den senere tid er de fundne fejl i IE blevet mere og
mere komplexe. Man kan med fordel lade vaere med at bruge IE indtil
Microsoft har haft tid til at gennemgaa koden / designet.
Efterhaanden kan det skadelig indhold dog ogsaa vaere andre ting, blandt
andet malformede flash, mp3, pdf, png eller bmp filer -- altsaa
datafiler som ikke indeholder kode i den traditionelle forstand.
Ved at lade sin browser (uanset om det er IE eller en anden) automatisk
sende data videre til plugins og andet, udvider man sin angrebsflade
betydeligt. Nu bestaar den pludslig af Real Player, WinAmp, Windows
Media Player, Shockwave og sikkert 20-40 andre smarte ting jeg aldrig
har kigget paa fordi jeg personligt vaelger at undgaa den slags.
> Min mail ops?tning viser kun tekst, s? der bliver ikke eksekveret
> noget uden at jeg selv starter det.
Det betyder, at angrebsfladen paa dit system er beskyttet af din hjerne
(evt. hand/eye co-ordination).
Saa vidt jeg kan se, er resten af dine spoergsmaal besvaret i
ovenstaaende. Ellers maa du vende tilbage.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow.
http://a.mongers.org
OSS/FAQ for dk.edb.sikkerhed:
http://sikkerhed-faq.dk