RapidShare behebt kritische Lücke nach Hinweis aus dem gulli:board

**Ghandy** · 08. 11. 2010, 13:33

Der Filehoster RapidShare behob kürzlich eine kritische Sicherheitslücke seiner Website. Mit Hilfe des Bugs hätte man beispielsweise beim Einsatz des Browsers Firefox illegalerweise die kostenpflichtigen Konten von Dritten, und damit deren Rapids, übernehmen können.

zur News

**Artesia** · 09. 11. 2010, 00:25

Sehr schön, so gefällt mir Gulli. Weitere so

**copy_x** · 09. 11. 2010, 11:30

Zitat von cheaterpd

Foren sind auch Web 2.0, wenn man es streng sieht.

Warum sollte ein Forum/Board Web2.0 sein? Die gibts mindestens schon seit 2000.

**Ghandy** · 09. 11. 2010, 11:32

Nun ja, die "Masche" mit dem User Generated Content ist ja noch mehr oder weniger Web 2.0, das wird cheaterpd wahrscheinlich gemeint haben.

**caffeole** · 09. 11. 2010, 18:26

Eine Lücke mehr oder weniger ist da eigentlich völlig egal. Das Radidshare Wrack ist eh gerade am absaufen.

BoMb_ · 09. 11. 2010, 18:59

Kann man sehen wie man will. Rapids waren sicherlich eine gute Einführung und gegenwärtig ist mir RapidShare von allen OCH immer noch am Liebsten.

**mockernocker** · 09. 11. 2010, 20:53

Warum sagt ihr das nicht erst uns bevor ihr sie warnt! die meisten griegen sowas sowieso nicht hin und ich hättes es gerne versucht

**Ghandy** · 09. 11. 2010, 22:57

Zitat von mockernocker

Die meisten kriegen sowas sowieso nicht hin und ich hättes es gerne versucht

Hehe, das wäre aber nicht gerade ein verantwortungsvoller Umgang mit derartigen Informationen gewesen. ;-)

**Novgorod** · 10. 11. 2010, 03:28

XSS? das heißt doch, man muss das opfer dazu bringen auf eine präparierte seite zu gehen, von der aus (per javascript?) die RS-seite mit dem eingeschleusten code aufgerufen wird, oder? oder wie würde sonst der code "eingeschleust"?
die schwierigkeit wäre aber auch noch, den code auf einer "vertrauenswürdigen" seite einzuschleusen (auf der scripts erlaubt sind) und an noscripts XSS-blocker vorbeizukommen..

also kurzum: sehe ich das richtig, dass solche exploits nur funktionieren, wenn das opfer "mitmacht"?

**feng** · 10. 11. 2010, 10:25

Jep, auch hier gilt: Die beste Firewall/Virenscanner ist immer noch das eigene Surfverhalten. Wer auf Links von nicht vertrauenswürdigen Quellen klickt, sollte sich lieber auch von E-Mails fernhalten.

**Kugelfisch23** · 10. 11. 2010, 10:28

Zitat von Novgorod

die schwierigkeit wäre aber auch noch, den code auf einer "vertrauenswürdigen" seite einzuschleusen (auf der scripts erlaubt sind) und an noscripts XSS-blocker vorbeizukommen..

Es reicht für einen erfolgreichen Angriff auch, einen Link zu verbreiten, der über einen URI-Shortener (tinyurl, bit.ly, ...) auf den präparierten RapidShare-URI zeigt. Mit einem geeigneten Link-Text versehen werden solche Links erfahrungsgemäss von vielen Benutzern relativ sorglos besucht.
Sofern man sich Zugriff auf eine entsprechend gut besuchte Website verschaffen kann, wäre (über ein iframe- bzw. ein object-Element) auch ein Angriff ohne jegliche Benutzerinteraktion denkbar. Hier würde (sofern die Site nicht in der Whitelist steht) NoScript schützen.

NoScripts heuristischer XSS-Filter wäre für einen Angreifer natürlich ein Problem, allerdings bietet (wie jede Heuristik) er keinen zuverlässigen Schutz. So wäre es z.B. wohl möglich, die über die von RS.com vorgenommene Umleitung der alten (Pfad- bzw. Query-String-basierten) URIs zu den neuen (Fragment-Identifier-basierten) URIs einen präparierten URI mehrfach dekodieren zu lassen, wodurch der erste URI von NoScripts XSS-Modul ggf. nicht erkannt würde. Davon abgesehen ist der Anteil der Nutzer, welche NoScript nutzen, verglichen mit der Gesamtanzahl der Nutzer relativ gering.

**Novgorod** · 10. 11. 2010, 17:36

ok, danke für die infos.. mir gings darum, wie man sich generell vor sowas schützen kann, ohne sich darauf verlassen zu müssen, dass alle lücken immer geschlossen werden.. es gibt ja sicher unzählige exploits dieser art, die allein den "bösen jungs" vorbehalten sind...

noscript ist sicher kein 100%iger schutz, falls es jemand schafft, code auf einer gewhitelisteten seite einzuschleusen (foren, blogs etc., also überall wo im prinzip jeder content generieren kann).. dennoch sieht es so aus, dass es fahrlässig ist, sich ohne scriptblocker im netz zu bewegen...

**beeze** · 12. 11. 2010, 14:47

Ach schade, das wär für mich DER ausschlaggebende Punkt gewesen, RS endlich zu verlassen, hätte ich das eher gewusst.

Zitat von Ghandy

Und ich bitte auch zu bedenken, welch ernüchternde News wir sonst über RapidShare gebracht haben.

Naja die Börse ist auch weg und RS will eh zur nicht illegalen Nutzern übergehen...ich sehe da schon gewisse Parallelen.

**Kugelfisch23** · 12. 11. 2010, 16:18

Zitat von Novgorod

dennoch sieht es so aus, dass es fahrlässig ist, sich ohne scriptblocker im netz zu bewegen...

Als (grob) fahrlässig würde ich das zwar nicht einstufen, aber du hast prinzipiell natürlich Recht: NoScript kann vor der Ausnutzung von Schwachstellen schützen, sowohl vor XSS-Schwachstellen wie auch vor Browser- und insbesondere Plugin-Schwachstellen. Schliesslich ist es kaum sinnvoll, wenn jede Site standardmässig jedes im Browser installierte Plugin nutzen darf (auch wenn man diese Liste ohnehin möglichst gering halten sollte und nicht benötigte Plugins gar nicht erst installiert/aktiviert sein sollten). Dies verhindert NoScripts Whitelisting-Ansatz effektiv. In sofern kann ich den Einsatz natürlich empfehlen.

Ach schade, das wär für mich DER ausschlaggebende Punkt gewesen, RS endlich zu verlassen, hätte ich das eher gewusst.

Wenn du das möchtest, kannst du das nach dem Verbrauch deiner verbleibenden Rapids nach wie vor tun - prinzipiell bist du bei RS.com ja nicht längerfristig gebunden, sofern du keine sehr grossen Rapids-Pakete kaufst (welche übrigens kaum günstiger sind als die kleineren Pakete, wenn man vom kleinstmöglichen Paket absieht).

**Ghandy** · 12. 11. 2010, 22:39

Zitat von beeze

Ach schade, das wär für mich DER ausschlaggebende Punkt gewesen, RS endlich zu verlassen, hätte ich das eher gewusst.

Naja die Börse ist auch weg und RS will eh zur nicht illegalen Nutzern übergehen...ich sehe da schon gewisse Parallelen.

Es ist natürlich fraglich, ob man RS ganz ohne illegale Nutzung dauerhaft mit Gewinn betreiben kann. Aber ich weiß jetzt besser, worauf du hinaus wolltest.

**Armadax** · 14. 11. 2010, 12:55

Wie hoch fiel die Belohnung aus ?

**beeze** · 14. 11. 2010, 18:17

Zitat von Kugelfisch23

Wenn du das möchtest, kannst du das nach dem Verbrauch deiner verbleibenden Rapids nach wie vor tun - prinzipiell bist du bei RS.com ja nicht längerfristig gebunden, sofern du keine sehr grossen Rapids-Pakete kaufst (welche übrigens kaum günstiger sind als die kleineren Pakete, wenn man vom kleinstmöglichen Paket absieht).

Keine Frage am 3.12. bin ich da weg

Aber selbst die verbleibenden Rapids (unter 495) in Traffic umzuwandeln scheitn ja recht kompliziert zu sein - anderes Thema. So gesehen hat gulli doch was Gutes getan!