"Wat vinden jullie van dergelijk gedrag door infoworld?"

Echt supergaaf dat ze dat doen!

Zonder meer informatie / bewijs hoe en of wat exact gebeurde is er natuurlijk weinig over te zeggen wat er exact gebeurde.
Dit wat moeten we nu zeggen over dit gedrag zonder dat we exact weten wat er gebeurde?

Kan toch ook false positive zijn?

Maar ik zie af en toe wel eens dat tor browser wel eens last heeft van een man-in-the-middle attack en dat merk je niet meteen. Daar maak ik me meer zorgen om. Maar wat Noscript waarschuwd, dat kan gewoon een false positive zijn denk ik zo.

Een 'potentiële aanval' is geen aanval. Als je verder geen info en/of bewijs hebt over wat er gebeurde is deze gehele post zonde van je tijd.

Een cross-site scripting melding betekent niet per definitie dat er een aanval plaatsvindt.
Een cross-site scripting melding betekent enkel dat een beveiligingsfout in de webapplicatie gevonden wordt.
Dat zóu misbruikt kunnen worden door een aanvaller, maar de cross-site scripting melding betekent slechts dat de beveiligingsfout gevonden wordt, het zegt niet dat er sprake is van een aanval.
Het enige dat je InfoWorld kunt 'verwijten', dat is dat ze mogelijk een fout over het hoofd hebben gezien.

Ha Wesley.J,

Het hangt er helemaal maar vanaf of de gedetecteerde cross site scripting XSS attack mogelijk is of niet.

Er moeten dan gaten zitten ofwel aan de server kant of aan de kant van de client en iemand let niet voldoende op!

Er zullen tevens geen bepaalde beveiligingsmaatregelen moeten zijn genomen in dat geval.
o.a. values moeten juist zijn ge-escaped, en aan onveiligheid - http security headers ontbreken,
sri hashing niet gegenereerd (same origin policy),geen beveiliging via cryptografische 'nonces'
content security policy en input-output validatie ontbreekt.

Op welk nivo zit de beveiliger/beveiliging?

Ik draai voor alerts Netcraft extensie en Malware Script Detector onder Tampermonkey.
Werk met regulaire expressie detectie.

Kijk eens hier naar eventuele mogelijke gaatjes: http://www.domxssscanner.com/scan?url=http%3A%2F%2Fwww.infoworld.com%2Farticle%2F2612716%2Fhacking%2Fvideo--how-to-hack-php-sites-with-sql-injection.html

en SRI rapport: https://sritest.io/#report/5f5cd7c1-40fb-4fe3-be12-735ab291c089

En daar deze die doordrenst op jquery: http://www.domxssscanner.com/scan?url=http%3A%2F%2Fa.postrelease.com%2Fserve%2Fload.js%3Fasync%3Dtrue

Voor een geslaagde XSS compromittal moet je mogelijkheden gebruiken, die aan de aandacht van de website beveiligers zijn ontsnapt, bijvoorbeeld gemanipuleerde bookmarklets zijn zo'n weg voor XSS injectie. Weleens aan gedacht dat
daarop niet wordt gevalideerd?

Anoniem van 13:07 heeft gelijk. Het kan met potentiële sources of sinks zijn, maar er zijn nog een heleboel voorwaarden te vervullen om er een werkelijke kwetsbaarheid van te maken.

Anderszins wel zinvol om te onderzoeken, de hacker onderzoekt ook alles en komt soms op een trouvaille.
Daarom zinvol als de code een alert produceert en zinvol om uit te zoeken waarom het niet zou kunnen werken.

De site infoworld dot com is niet "secure" en er vindt nogal wat tracking plaats: 9% of the trackers on this site could be protecting you from NSA snooping. Tell infoworld.com to fix it.

Tweet
All trackers
At least 17 third parties know you are on this webpage.

-www.googletagmanager.com
-p.typekit.net
- comScore
-jsonip.com
-shaaaaaaaaaaaaa.com
- www.infoworld.com
- fonts.staticworld.net
-a.postrelease.com
- t.zqtk.net
-i-dge.staticworld.net
-core0.staticworld.net
-tags.bkrtx.com BlueKai
- core3.staticworld.net
-trends.revcontent.com
- Parse.ly
- ak.sail-horizon.com
- pixel.staticworld.net

Succes met het analyseren van je alertjes en onthou een ding - niets is ooit zinloos gebleken.
Wat zinloos is voor de een is zinvol of betekent omgewerkt een hack voor de ander.

Blijf dus buiten de geijkte patronen denken en onthou: een goede 'zoeker' is de gevaarlijkste hacker de baas,
dat leerde ik al van wijlen F.R.A.V.I.A. (RIP) de resource engineer en searchlores guru,
toen ik cgi zwakheden besprak voor een speciaal woordenlijst voor Intellitamper.

Een video zei je? Waar loopt die video op? Flashplayer misschien?

Javascript beheer

De melding lijkt te worden veroorzaakt door javascript van / en of d1z2jf7jlzjs58.cloudfront.net

Code:

Maar de xss melding treedt in ieder geval pas zichtbaar op bij het toestaan van javascripts van deze: tags.bkrtx.com
Code:

Die laatste is volgens mij in ieder geval tracker-code (maar Cloudfront wordt daar ook voor gebruikt) die je over het algemeen al kan missen als kiespijn, maar in combinatie met Torbrowser volkomen nutteloos is en het internetten alleen maar langzamer (en onveiliger?) maakt.

Oplossing: Security Slider
Zet je security slider (privacy and security settings) wat hoger in Torbrowser, die mogelijkheid vind je onder de groene Torbutton.
De security slider stuurt ook de instellingen van de standaard ingebouwde NoScript addon aan.
Je hebt de security slider waarschijnlijk (nog) op de laagste standaard instelling staan.
Dan werken waarschijnlijk alle websites wel maar je laat die websites wel vol hun gang gaan met veel (niet alle) soorten javascripts.

Hoe hoger de slider, hoe minder javascripts, hoe veiliger en (over het algemeen*, niet altijd) meer secure je browser.
Maar ook hoe hoger de kans dat niet alle webfunctionaliteit van bepaalde websites direct werkt.
Dat zul je wat vaker handmatig javascript onder de NoScript button moeten toestaan om te kijken of iets wel werkt,
Afhankelijk van wat je wil valt het over het algemeen mee, veel websites zijn goed te lezen met veel javascript uitgeschakeld.

Test het uit met de diverse settings en vind uit wat voor jou acceptabel is met je favoriete websites.
In ieder geval is het zo dat hoe meer javascripts je tegenhoudt hoe sneller websites laden.


Noot

* Sommige (provider)websites krijgen het bijvoorbeeld voor elkaar wel te laten inloggen met niet toestaan van bepaalde javascripts maar onder dezelfde javascript blokkade javascript settings bijvoorbeeld niet meer veilig te kunnen uitloggen!

Dan krijg je zoiets

CONTROLE VERZOEK MISLUKT
Om u te beschermen, is toegang tot deze bron beveiligd tegen CSRF.
Wanneer u dit ziet, heeft u waarschijnlijk niet uitgelogd voordat u de webapplicatie verliet.

Menselijke interactie is nu vereist om door te gaan.

Neem alstublieft contact op met uw systeembeheerder.

Van het feit dat zonder toestaan van diezelfde bepaalde javascripts de mogelijke inhoud van je mailbox niet laadt wordt dan weer geen melding gemaakt.
Als je je mailbox periodiek schoont kan het betekenen dat je denkt dat er geen nieuwe mail is binnengekomen terwijl dat wel zo is.
Oppassen dus!

Helaas is bij sommige bedrijven marketing en het hoog scoren in de klantstatistiek belangrijker dan het oppakken van website euvels middels feedback.
Zelf een werkbare oplossing vinden (is het een geblokkeerd javascript en welke?) is dan werkbaarder dan op zoek gaan naar die zogenaamde systeembeheerder of tijd te verspillen aan feedback aan het betreffende bedrijf.

Wees dus alert op je javascript instellingen van NoScript bij de functionaliteit van kritische (belangrijke) websites!
Want soms in geblokkeerde javascript nodig en kan een blokkade ongezien in de weg zitten.

Anoniem van 16:02
Bedankt voor je duidelijk uitgelegde analyse van de alert in kwestie.

De veroorzaker was dus de -tags.bkrtx.com BlueKai tracker!

Hiermee wordt dit geblokkeerd bluekai.com third party tracking, namelijk zie: https://github.com/mozilla/blok
Adblokkers hadden namelijk aanvankelijk grote moeite met het blokkeren van het script van deze user data seller.

Giorgio Maone's No-Script blijkt een altijd werkend en uniek concept voor het mitigeren van javascript bedreigingen,
zeer zeker ook in tor.

Strijd mee in de zoektocht naar betere online privacy, beveiliging en vrijheid.

Indien er een melding wordt gedaan van een ''mogelijke inbraak'' in jouw huis, betekent dat dan per definitie dat er geen sprake is van een inbraak, m.b.t. jouw huis ? De uitleg van 16:02 is constructief. Reacties met dit soort kreten niet.

Correct.