<!DOCTYPE html>
<html>
<head>
<title></title>
</head>
<body><div> </div>
<div> </div>
<div> </div>
<div>On Thu, Sep 18, 2014, at 03:26 PM, Adam Kruger wrote:<br></div>
<blockquote type="cite"><div dir="ltr"><div><span class="colour" style="color:rgb(0, 0, 0)"><span class="font" style="font-family:arial, ' helvetica', ' sans-serif'">On Thu Sep 18 2014 at 15:01:21, </span></span><span class="colour" style="color:rgb(0, 0, 0)"><span class="font" style="font-family:arial, ' helvetica', ' sans-serif'">Nathan of Guardian wrote:</span></span><br></div>
<blockquote style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex" defang_data-gmailquote="yes"><pre style="white-space:pre-wrap;color:rgb(0,0,0)">Orweb only allows on window at a time, and no tabs. I need to
dig deeper into the bug, but my hope was that we aren't
vulnerable because of that.<br></pre></blockquote><div>Our understanding is that content in iframes could violate SOP, so even with one browser window/tab at a time there is a problem.<br></div>
</div>
</blockquote><div> </div>
<div>Hmm, so the attack is that a <span style="line-height: 1.25;">MiTM somehow injects a malicious iframe into a site you are visiting... but if they can do that, then can't they already see the content you are access?</span><br></div>
<div> </div>
<div>Who is creating the malicious iFrame and with what goal? What am I missing?<br></div>
<div> </div>
<div> </div>
<div> </div>
<blockquote type="cite"><div dir="ltr"><blockquote style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex" defang_data-gmailquote="yes"><pre style="white-space:pre-wrap;color:rgb(0,0,0)">Have you seen our work on Orfox? I think we are going to
accelerate a release there, and kill off all of our WebView
based efforts.<br></pre></blockquote><div>Yes. I'm looking forward to seeing an Orfox release.<br></div>
</div>
</blockquote><div> </div>
<div>Yes, and we should discuss if you want to do your own release of it for Psiphon, or if we should somehow have our Netcipher code check for Orbot and Psiphon, and prompt the user.<br></div>
<div> </div>
<div>+n</div>
</body>
</html>