Seite 2 von 2 ErsteErste 12
Ergebnis 21 bis 37 von 37
  1. #1
    Gesperrt Avatar von Ghandy
    Registriert seit
    Jun 2006
    Ort
    Wo es mir gefällt!
    Beiträge
    7.160
    NewsPresso
    318 (Phänomen)
    Danksagungen
    60

    Standard RapidShare behebt kritische Lücke nach Hinweis aus dem gulli:board

    Der Filehoster RapidShare behob kürzlich eine kritische Sicherheitslücke seiner Website. Mit Hilfe des Bugs hätte man beispielsweise beim Einsatz des Browsers Firefox illegalerweise die kostenpflichtigen Konten von Dritten, und damit deren Rapids, übernehmen können.

    zur News

  2. #21
    Gesperrt Avatar von Artesia
    Registriert seit
    Nov 2007
    Ort
    Utopia
    Beiträge
    3.527
    NewsPresso
    6 (Könner)
    Danksagungen
    252

    Standard Re: RapidShare behebt kritische Lücke nach Hinweis aus dem gulli:board

    Sehr schön, so gefällt mir Gulli. Weitere so

  3. #22
    Mitglied Avatar von copy_x
    Registriert seit
    Jul 2010
    Ort
    etc\hosts
    Beiträge
    206
    Danksagungen
    0

    Standard Re: RapidShare behebt kritische Lücke nach Hinweis aus dem gulli:board

    Zitat Zitat von cheaterpd Beitrag anzeigen
    Foren sind auch Web 2.0, wenn man es streng sieht.
    Warum sollte ein Forum/Board Web2.0 sein? Die gibts mindestens schon seit 2000.

  4. #23
    Gesperrt

    (Threadstarter)

    Avatar von Ghandy
    Registriert seit
    Jun 2006
    Ort
    Wo es mir gefällt!
    Beiträge
    7.160
    NewsPresso
    318 (Phänomen)
    Danksagungen
    60

    Standard Re: RapidShare behebt kritische Lücke nach Hinweis aus dem gulli:board

    Nun ja, die "Masche" mit dem User Generated Content ist ja noch mehr oder weniger Web 2.0, das wird cheaterpd wahrscheinlich gemeint haben.

  5. #24
    Mitglied
    Registriert seit
    Feb 2009
    Beiträge
    9
    Danksagungen
    0

    Standard Re: RapidShare behebt kritische Lücke nach Hinweis aus dem gulli:board

    Eine Lücke mehr oder weniger ist da eigentlich völlig egal. Das Radidshare Wrack ist eh gerade am absaufen.

  6. #25
    deaktivierter Nutzer
    deaktiviertes Benutzerkonto

    Standard Re: RapidShare behebt kritische Lücke nach Hinweis aus dem gulli:board

    Kann man sehen wie man will. Rapids waren sicherlich eine gute Einführung und gegenwärtig ist mir RapidShare von allen OCH immer noch am Liebsten.

  7. #26
    Mitglied
    Registriert seit
    Nov 2009
    Beiträge
    2
    Danksagungen
    0

    Standard Re: RapidShare behebt kritische Lücke nach Hinweis aus dem gulli:board

    Warum sagt ihr das nicht erst uns bevor ihr sie warnt! die meisten griegen sowas sowieso nicht hin und ich hättes es gerne versucht

  8. #27
    Gesperrt

    (Threadstarter)

    Avatar von Ghandy
    Registriert seit
    Jun 2006
    Ort
    Wo es mir gefällt!
    Beiträge
    7.160
    NewsPresso
    318 (Phänomen)
    Danksagungen
    60

    Standard Re: RapidShare behebt kritische Lücke nach Hinweis aus dem gulli:board

    Zitat Zitat von mockernocker Beitrag anzeigen
    Die meisten kriegen sowas sowieso nicht hin und ich hättes es gerne versucht
    Hehe, das wäre aber nicht gerade ein verantwortungsvoller Umgang mit derartigen Informationen gewesen. ;-)

  9. #28
    Wer hat uns verraten? Avatar von Novgorod
    Registriert seit
    Sep 2007
    Ort
    Wer hat uns verkauft
    Beiträge
    2.161
    Danksagungen
    13

    Standard Re: RapidShare behebt kritische Lücke nach Hinweis aus dem gulli:board

    XSS? das heißt doch, man muss das opfer dazu bringen auf eine präparierte seite zu gehen, von der aus (per javascript?) die RS-seite mit dem eingeschleusten code aufgerufen wird, oder? oder wie würde sonst der code "eingeschleust"?
    die schwierigkeit wäre aber auch noch, den code auf einer "vertrauenswürdigen" seite einzuschleusen (auf der scripts erlaubt sind) und an noscripts XSS-blocker vorbeizukommen..

    also kurzum: sehe ich das richtig, dass solche exploits nur funktionieren, wenn das opfer "mitmacht"?

  10. #29
    Mitglied
    Registriert seit
    Jun 2006
    Beiträge
    51
    Danksagungen
    0

    Standard Re: RapidShare behebt kritische Lücke nach Hinweis aus dem gulli:board

    Jep, auch hier gilt: Die beste Firewall/Virenscanner ist immer noch das eigene Surfverhalten. Wer auf Links von nicht vertrauenswürdigen Quellen klickt, sollte sich lieber auch von E-Mails fernhalten.

  11. #30
    ex-Moderator Avatar von Kugelfisch23
    Registriert seit
    Oct 2007
    Beiträge
    18.640
    Danksagungen
    458

    Standard Re: RapidShare behebt kritische Lücke nach Hinweis aus dem gulli:board

    Zitat Zitat von Novgorod Beitrag anzeigen
    die schwierigkeit wäre aber auch noch, den code auf einer "vertrauenswürdigen" seite einzuschleusen (auf der scripts erlaubt sind) und an noscripts XSS-blocker vorbeizukommen..
    Es reicht für einen erfolgreichen Angriff auch, einen Link zu verbreiten, der über einen URI-Shortener (tinyurl, bit.ly, ...) auf den präparierten RapidShare-URI zeigt. Mit einem geeigneten Link-Text versehen werden solche Links erfahrungsgemäss von vielen Benutzern relativ sorglos besucht.
    Sofern man sich Zugriff auf eine entsprechend gut besuchte Website verschaffen kann, wäre (über ein iframe- bzw. ein object-Element) auch ein Angriff ohne jegliche Benutzerinteraktion denkbar. Hier würde (sofern die Site nicht in der Whitelist steht) NoScript schützen.

    NoScripts heuristischer XSS-Filter wäre für einen Angreifer natürlich ein Problem, allerdings bietet (wie jede Heuristik) er keinen zuverlässigen Schutz. So wäre es z.B. wohl möglich, die über die von RS.com vorgenommene Umleitung der alten (Pfad- bzw. Query-String-basierten) URIs zu den neuen (Fragment-Identifier-basierten) URIs einen präparierten URI mehrfach dekodieren zu lassen, wodurch der erste URI von NoScripts XSS-Modul ggf. nicht erkannt würde. Davon abgesehen ist der Anteil der Nutzer, welche NoScript nutzen, verglichen mit der Gesamtanzahl der Nutzer relativ gering.

  12. #31
    Wer hat uns verraten? Avatar von Novgorod
    Registriert seit
    Sep 2007
    Ort
    Wer hat uns verkauft
    Beiträge
    2.161
    Danksagungen
    13

    Standard Re: RapidShare behebt kritische Lücke nach Hinweis aus dem gulli:board

    ok, danke für die infos.. mir gings darum, wie man sich generell vor sowas schützen kann, ohne sich darauf verlassen zu müssen, dass alle lücken immer geschlossen werden.. es gibt ja sicher unzählige exploits dieser art, die allein den "bösen jungs" vorbehalten sind...

    noscript ist sicher kein 100%iger schutz, falls es jemand schafft, code auf einer gewhitelisteten seite einzuschleusen (foren, blogs etc., also überall wo im prinzip jeder content generieren kann).. dennoch sieht es so aus, dass es fahrlässig ist, sich ohne scriptblocker im netz zu bewegen...

  13. #32
    Mitglied Avatar von beeze
    Registriert seit
    Aug 2008
    Beiträge
    1.423
    Danksagungen
    0

    Standard Re: RapidShare behebt kritische Lücke nach Hinweis aus dem gulli:board

    Ach schade, das wär für mich DER ausschlaggebende Punkt gewesen, RS endlich zu verlassen, hätte ich das eher gewusst.

    Zitat Zitat von Ghandy Beitrag anzeigen
    Und ich bitte auch zu bedenken, welch ernüchternde News wir sonst über RapidShare gebracht haben.
    Naja die Börse ist auch weg und RS will eh zur nicht illegalen Nutzern übergehen...ich sehe da schon gewisse Parallelen.

  14. #33
    ex-Moderator Avatar von Kugelfisch23
    Registriert seit
    Oct 2007
    Beiträge
    18.640
    Danksagungen
    458

    Standard Re: RapidShare behebt kritische Lücke nach Hinweis aus dem gulli:board

    Zitat Zitat von Novgorod Beitrag anzeigen
    dennoch sieht es so aus, dass es fahrlässig ist, sich ohne scriptblocker im netz zu bewegen...
    Als (grob) fahrlässig würde ich das zwar nicht einstufen, aber du hast prinzipiell natürlich Recht: NoScript kann vor der Ausnutzung von Schwachstellen schützen, sowohl vor XSS-Schwachstellen wie auch vor Browser- und insbesondere Plugin-Schwachstellen. Schliesslich ist es kaum sinnvoll, wenn jede Site standardmässig jedes im Browser installierte Plugin nutzen darf (auch wenn man diese Liste ohnehin möglichst gering halten sollte und nicht benötigte Plugins gar nicht erst installiert/aktiviert sein sollten). Dies verhindert NoScripts Whitelisting-Ansatz effektiv. In sofern kann ich den Einsatz natürlich empfehlen.

    Ach schade, das wär für mich DER ausschlaggebende Punkt gewesen, RS endlich zu verlassen, hätte ich das eher gewusst.
    Wenn du das möchtest, kannst du das nach dem Verbrauch deiner verbleibenden Rapids nach wie vor tun - prinzipiell bist du bei RS.com ja nicht längerfristig gebunden, sofern du keine sehr grossen Rapids-Pakete kaufst (welche übrigens kaum günstiger sind als die kleineren Pakete, wenn man vom kleinstmöglichen Paket absieht).

  15. #34
    Gesperrt

    (Threadstarter)

    Avatar von Ghandy
    Registriert seit
    Jun 2006
    Ort
    Wo es mir gefällt!
    Beiträge
    7.160
    NewsPresso
    318 (Phänomen)
    Danksagungen
    60

    Standard Re: RapidShare behebt kritische Lücke nach Hinweis aus dem gulli:board

    Zitat Zitat von beeze Beitrag anzeigen
    Ach schade, das wär für mich DER ausschlaggebende Punkt gewesen, RS endlich zu verlassen, hätte ich das eher gewusst.

    Naja die Börse ist auch weg und RS will eh zur nicht illegalen Nutzern übergehen...ich sehe da schon gewisse Parallelen.
    Es ist natürlich fraglich, ob man RS ganz ohne illegale Nutzung dauerhaft mit Gewinn betreiben kann. Aber ich weiß jetzt besser, worauf du hinaus wolltest.

  16. #35
    Mitglied Avatar von Armadax
    Registriert seit
    Sep 2007
    Beiträge
    614
    Danksagungen
    22

    Standard Re: RapidShare behebt kritische Lücke nach Hinweis aus dem gulli:board

    Wie hoch fiel die Belohnung aus ?

  17. #36
    Mitglied Avatar von beeze
    Registriert seit
    Aug 2008
    Beiträge
    1.423
    Danksagungen
    0

    Standard Re: RapidShare behebt kritische Lücke nach Hinweis aus dem gulli:board

    Zitat Zitat von Kugelfisch23 Beitrag anzeigen

    Wenn du das möchtest, kannst du das nach dem Verbrauch deiner verbleibenden Rapids nach wie vor tun - prinzipiell bist du bei RS.com ja nicht längerfristig gebunden, sofern du keine sehr grossen Rapids-Pakete kaufst (welche übrigens kaum günstiger sind als die kleineren Pakete, wenn man vom kleinstmöglichen Paket absieht).
    Keine Frage am 3.12. bin ich da weg Aber selbst die verbleibenden Rapids (unter 495) in Traffic umzuwandeln scheitn ja recht kompliziert zu sein - anderes Thema. So gesehen hat gulli doch was Gutes getan!

  18. #37
    Gesperrt

    (Threadstarter)

    Avatar von Ghandy
    Registriert seit
    Jun 2006
    Ort
    Wo es mir gefällt!
    Beiträge
    7.160
    NewsPresso
    318 (Phänomen)
    Danksagungen
    60

    Standard Re: RapidShare behebt kritische Lücke nach Hinweis aus dem gulli:board

    Zitat Zitat von Armadax Beitrag anzeigen
    Wie hoch fiel die Belohnung aus ?
    Belohnung? Die News und die Sicherheit der User sind für mich Belohnung genug. Ich habe nicht versucht die Situation auszunutzen. Wofür auch?

  19.  
     
     
Seite 2 von 2 ErsteErste 12

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •