Toon posts:

Verkeerde info ivm microsoft teams lek

Pagina: 1
Acties:

dinsdag 28 april 2020 10:47

Acties:
  • +5 Henk 'm!
  • seba
  • Registratie: November 2007
  • Laatst online: 30-10-2024

seba

Topicstarter
@TijsZonderH in dit artikel: nieuws: Microsoft repareert lek in Teams dat subdomeintakeover met gifbestand... staat nogal wat foute info.

- Er is helemaal geen geinfecteerd gif bestand, het is een reguliere .gif
- Dat het een .gif is, maakt eigenlijk zelfs niets uit
- De gif laat helemaal geen subdomain takeover toe, zoals de titel claimt

Je moet zelf een subdomein takeover geregeld krijgen (dit kon in dit geval mogelijk zijn op enkele teams subdomeinen door oude CNAME DNS records naar andere domeinen die niet meer bestonden). Daar heeft de gif op zich niets mee te maken.

Als je een afbeelding upload in teams, wordt die vanaf een teams subdomein geladen en stuurt microsoft authenticatie cookies hiernaar toe, om te checken of een persoon die afbeelding mag zien of niet.
Dit kan eender welke afbeelding zijn (.jpg is even goed als een .gif) en er moet helemaal niets geinfecteerd aan zijn. Aan de afbeelding zelf is niet geprutst. Maar gezien de eerdere subdomein takeover, gaat de aanvraag dus naar jou server en krijg je de authenticatie cookies in handen.

dinsdag 28 april 2020 11:04

Acties:
  • +3 Henk 'm!
  • CyberMania
  • Registratie: Februari 2015
  • Laatst online: 05-12-2021

CyberMania

@TijsZonderH en Teams afdoen als een videochatplatform doet ook geen recht aan het product. Volgens mij ken je Teams dan echt niet goed van binnen. Wikipedia omschrijft het wel mooi:
Microsoft Teams is a unified communication and collaboration platform that combines persistent workplace chat, video meetings, file storage (including collaboration on files), and application integration
Misschien een het iets noemen als: een platform voor teamwerk beter.

[ Voor 8% gewijzigd door CyberMania op 28-04-2020 11:06 ]

dinsdag 28 april 2020 11:41

Acties:
  • +2 Henk 'm!
  • Techprice
  • Registratie: Juni 2016
  • Laatst online: 24-05 15:46

Techprice

Niet alleen ben ik het eens met al het bovenstaande, ik vond het artikel daarnaast ook heel kort en oppervlakkig.
Er worden wel snel wat (foutieve) details ter sprake gebracht, maar ik vond het artikel desondanks nog steeds niet diepgaand genoeg en vooral heel erg chaotisch opgesteld.

In zo'n artikel verwacht ik net iets meer details, diepgang en uitklaring van het probleem en de fix. Dan is de kans ook minder groot dat je foutieve informatie klakkeloos overneemt van andere technieuws websites.

Measuring programming progress by lines of code is like measuring aircraft building progress by weight.

dinsdag 28 april 2020 13:04

Acties:
  • +3 Henk 'm!
  • TijsZonderH
  • Registratie: Maart 2012
  • Laatst online: 14:30

TijsZonderH

Nieuwscoördinator
@seba Ik heb gereageerd op je comment onderaan het stuk, daar zien meer mensen het. Thanks in ieder geval. En inderdaad @CyberMania, videochatplatform is wat te kort door de bocht, heb ik 'werkplatform' van gemaakt.

Deze handtekening kan worden opgenomen voor trainingsdoeleinden.

Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq