Ergebnis 1 bis 17 von 17
  1. #1
    Gesperrt Avatar von Ghandy
    Registriert seit
    Jun 2006
    Ort
    Wo es mir gefällt!
    Beiträge
    7.160
    NewsPresso
    318 (Phänomen)
    Danksagungen
    60

    Standard IT-Sicherheit: Nyan Cat erobert WDR.de, Bild.de, ARD.de und weitere Portale

    Nyan Cat, die süße Katzenanimation mit Endlosschleife und höchst nerviger aber kultiger Musik erobert aufgrund der Sicherheitslücken auf diversen Webseiten jetzt auch die Portale von Foodwatch, dem WDR, ARD und viele mehr. Statt dem Super Mario Flash Game benutzen wir das knuddelige Tier jetzt dafür, die Betreiber auf neue Bugs hinzuweisen. Wir wünschen allen einen angenehmen Flug mit Nyan Cat!

    zur News

  2. #2
    Mitglied
    Registriert seit
    Jun 2008
    Beiträge
    3
    Danksagungen
    0

    Standard Re: IT-Sicherheit: Nyan Cat erobert WDR.de, Bild.de, ARD.de und weitere Portale

    hm hat was

  3. #3
    Mitglied Avatar von bigtuerke1
    Registriert seit
    Jun 2007
    Beiträge
    504
    Danksagungen
    6

    Standard Re: IT-Sicherheit: Nyan Cat erobert WDR.de, Bild.de, ARD.de und weitere Portale


  4. #4
    Mitglied
    Registriert seit
    Jul 2011
    Beiträge
    72
    Danksagungen
    0

    Standard Re: IT-Sicherheit: Nyan Cat erobert WDR.de, Bild.de, ARD.de und weitere Portale

    Nyan @ Saturn.at http://tinyurl.com/SOnyanSaturn
    Blub Blub @ SWR http://tinyurl.com/SOswrblubblub <-x fixed
    Geändert von IIWhiteHatII (06. 08. 2011 um 19:20 Uhr)

  5. #5
    Mitglied
    Registriert seit
    Aug 2009
    Beiträge
    106
    Danksagungen
    4

    Standard Re: IT-Sicherheit: Nyan Cat erobert WDR.de, Bild.de, ARD.de und weitere Portale

    Zitat Zitat von IIWhiteHatII Beitrag anzeigen
    Ahhhh wie geil die haben Charlie das Einhorn verlinkt xDDD

  6. #6
    Mitglied
    Registriert seit
    Nov 2007
    Beiträge
    101
    NewsPresso
    9 (Könner)
    Danksagungen
    0

    Standard Re: IT-Sicherheit: Nyan Cat erobert WDR.de, Bild.de, ARD.de und weitere Portale

    Ich versteh immer noch nicht, was das für ne "Sicherheits"-Lücke sein soll?!
    Ja sicher, es gehört besser gemacht, aber wo ist die Sicherheit gefährdet? Code einschleußen, den nur ich selber seh... woho.. ><

  7. #7
    Mitglied Avatar von Lugyacci
    Registriert seit
    Jun 2008
    Beiträge
    229
    Danksagungen
    6

    Standard Re: IT-Sicherheit: Nyan Cat erobert WDR.de, Bild.de, ARD.de und weitere Portale

    Zitat Zitat von Gacksi Beitrag anzeigen
    Ich versteh immer noch nicht, was das für ne "Sicherheits"-Lücke sein soll?!
    Ja sicher, es gehört besser gemacht, aber wo ist die Sicherheit gefährdet? Code einschleußen, den nur ich selber seh... woho.. ><
    Wikipedia: XSS
    Es geht in erster Linie um Phishing. Da man ein Javascript so schreiben kann, dass es sich selbst versteckt (auch in der URL!!) kann man auf diese Weise Daten des Users abfangen oder fälschen. Besonders gefährlich ist dies auch im Zusammenhang mit aktuellen Browserfeatures wie etwa Passwortmanagern. Und es verhällt sich wie ein Rootkit, d.h. es ist annähernd unbemerkbar (nur mithilfe von Web-Entwicklungs-Werkzeugen).

  8. #8
    Mitglied
    Registriert seit
    Nov 2007
    Beiträge
    101
    NewsPresso
    9 (Könner)
    Danksagungen
    0

    Standard Re: IT-Sicherheit: Nyan Cat erobert WDR.de, Bild.de, ARD.de und weitere Portale

    Danke für deine Antwort.
    Das Grundproblem beim Phishing ist dann aber immer noch der User und nicht die Homepage.
    Aber gut, gefixt gehört es so und so .. ^^

  9. #9
    ex-Moderator Avatar von aNtiCHrist
    Registriert seit
    May 2000
    Beiträge
    24.175
    Danksagungen
    126

    Standard Re: IT-Sicherheit: Nyan Cat erobert WDR.de, Bild.de, ARD.de und weitere Portale

    Zitat Zitat von Gacksi Beitrag anzeigen
    Das Grundproblem beim Phishing ist dann aber immer noch der User und nicht die Homepage.
    Nein, eben nicht. Der Nutzer befindet sich schließlich auf der korrekten Website. Gut, man könnte bei dem langen URI, der auch noch einen weiteren (allerdings kodierten) URI oder JS-Code enthält, misstrauisch werden. Aber da oft genug auch ganz ohne Manipulation solche unübersichtlichen URIs verwendet werden, kann man dem Nutzer da kaum eine eingehende Prüfung zumuten. Weil die Domain stimmt, lassen sich so auch einem Passwortmanager die Daten entlocken, der füllt die Formulare ja auch nur auf der korrekten Domain aus. Auch SSL schützt da nicht. Das Problem liegt hier im wesentlichen auf der technischen Seite, Social Engineering kann hier zwar tatsächlich ergänzend eine Rolle spielen, es ist aber eben nicht zwingend notwendig.

    Spätestens, wenn auf der Site Authentifizierungsdaten verwendet werden, ist XSS ein schwerwiegendes Sicherheitsproblem, selbst wenn es nicht persistent möglich ist. In Kombination mit den beliebten, allgemein aber höchst fragwürdigen Kurz-URI-Diensten ist es schließlich relativ einfach, die meisten Nutzer auf einen URI zu locken, den sie bei dem Aufruf nicht kennen. Persistentes XSS ist natürlich noch mal deutlich schlimmer, wenn es an einer attraktiven Stelle möglich ist. Etwa in einem Forum in einem gut besuchten Thread.

  10. #10
    Mitglied Avatar von Lugyacci
    Registriert seit
    Jun 2008
    Beiträge
    229
    Danksagungen
    6

    Standard Re: IT-Sicherheit: Nyan Cat erobert WDR.de, Bild.de, ARD.de und weitere Portale

    Zitat Zitat von aNtiCHrist Beitrag anzeigen
    In Kombination mit den beliebten, allgemein aber höchst fragwürdigen Kurz-URI-Diensten ist es schließlich relativ einfach, die meisten Nutzer auf einen URI zu locken, den sie bei dem Aufruf nicht kennen.
    Kurz-URIs sind zwar ganz nett, aber mit Domains kommt man oft auch schon ziemlich weit, ohne dass es der User merkt.
    www.faecbook.com
    www.fa.cebook.com
    www.fasebook.com
    www.facebock.com
    ...
    der User wird beim Klick einfach auf die Seite mit XSS weitergeleitet und niemand merkt mehr was
    (Schwachstelle ist natürlich, dass Domain-Namen relativ einfach gelöscht/gesperrt werden können)
    Falls man jedoch vorher auf einer anderen Webseite bereits (serverseitig) HTML einbauen konnte, könnte man natürlich auch einfach einen Link einbauen, der die falsche Adresse beim Überfahren mit der Maus anzeigt (Stichwort: OnClick)

  11. #11
    ex-Moderator Avatar von aNtiCHrist
    Registriert seit
    May 2000
    Beiträge
    24.175
    Danksagungen
    126

    Standard Re: IT-Sicherheit: Nyan Cat erobert WDR.de, Bild.de, ARD.de und weitere Portale

    Ich meinte die Kurz-URI-Dienste nicht mal in Bezug auf eine Täuschungsbsicht, sondern allgemein, dass man meist nicht ohne weiteres vor dem Aufruf des Ziels erkennen kann, wo sie hinführen. In der Adresszeile des Browsers kann man die verdächtigen URI-Teile ja recht einfach so weit am Ende anordnen, dass sie nicht angezeigt werden. Wird ein URI aber per z. B. per (Plaintext-)Mail verbreitet, ist er in seiner vollen länge sichtbar, was zu einer potenziell leichteren Erkennung der Manipulation führt. Aber du hast natürlich mit der Irreführung recht, bereits in einer HTML-Mail könnte man den Link-Text entsprechend gestalten, sodass eine Vielzahl darauf hereinfällt.

    Den Bezug von der von dir erwähnten Irreführung zur XSS-Problematik hier kann ich aber nur am Rand sehen. Bei einer XSS-anfälligen Site muss der Angreifer doch überhaupt keinen Aufwand betreiben, den Nutzer bei der Domain zu täuschen. Sie ist ja korrekt. Das Problem ist der Pfad/Query-String.

  12. #12
    Mitglied
    Registriert seit
    Jul 2011
    Beiträge
    24
    Danksagungen
    0

    Standard Re: IT-Sicherheit: Nyan Cat erobert WDR.de, Bild.de, ARD.de und weitere Portale

    XSS ist eine altbekannte Lücke (Microsoft: Gefahr für alle Surfer (pcwelt.de) vom 04.02.2000) welche nun von den Mainstream-Medien entdeckt wurde. Vor Jahren war XSS etwas wo man (angeblich) nur bunte Bildchen einfügen konnte und nun wird es als die hohe Kunst des Hackens gepriesen, das eine ist so falsch wie das andere.

    Nimmt man sich etwas Zeit, so finden sich in geschätzten 80% aller Websites XSS-Lücken, ob diese dann am Ende wirklich gefährlich werden, hängt von der Website, deren angebotenen Dienste und Techniken ab.

    "Nur" weil ich irgendwo eine Session-ID per XSS auslesen kann, bedeutet dies noch nicht, dass ich in einen fremden Account einbrechen kann. Ein durchdachtes Session-Handling, Verhinderung von Session-Hijaking und Session-Fixation, macht die Accountübernahme unmöglich. I.d.R. kommen immer weitere Sicherheitslücken hinzu, weshalb man eben doch einen Account übernehmen kann

    Und noch was für das Sommerloch bei gulli:
    Datt SPIEGELt sich aber nicht!
    http://bit.ly/pazoof

  13. #13
    Mitglied
    Registriert seit
    Aug 2011
    Beiträge
    2
    Danksagungen
    0

    Standard Re: IT-Sicherheit: Nyan Cat erobert WDR.de, Bild.de, ARD.de und weitere Portale

    Zitat Zitat von ArieD Beitrag anzeigen
    Ahhhh wie geil die haben Charlie das Einhorn verlinkt xDDD
    Scheint gefixt zu sein. Zumindest bei ARD.de, SWR.de http://tinyurl.com/SOswrblubblub

  14. #14
    Mitglied Avatar von marian1
    Registriert seit
    Feb 2009
    Beiträge
    338
    NewsPresso
    8 (Könner)
    Danksagungen
    4

    Standard Re: IT-Sicherheit: Nyan Cat erobert WDR.de, Bild.de, ARD.de und weitere Portale

    Bei mir hat keiner der Links funktioniert. Bin ich der einzige?

  15. #15
    Mitglied
    Registriert seit
    Aug 2011
    Beiträge
    2
    Danksagungen
    0

    Standard Re: IT-Sicherheit: Nyan Cat erobert WDR.de, Bild.de, ARD.de und weitere Portale

    Zitat Zitat von marian1 Beitrag anzeigen
    Bei mir hat keiner der Links funktioniert. Bin ich der einzige?
    Ist schon gefixt.

  16. #16
    Mitglied Avatar von Juuichi
    Registriert seit
    Jun 2010
    Beiträge
    968
    Danksagungen
    8

    Standard Re: IT-Sicherheit: Nyan Cat erobert WDR.de, Bild.de, ARD.de und weitere Portale

    Zitat Zitat von Lugyacci Beitrag anzeigen
    (nur mithilfe von Web-Entwicklungs-Werkzeugen).
    Nope. NoScript reicht.



  17. #17
    Mitglied
    Registriert seit
    Jul 2011
    Beiträge
    72
    Danksagungen
    0

    Standard Re: IT-Sicherheit: Nyan Cat erobert WDR.de, Bild.de, ARD.de und weitere Portale


  18.  
     
     

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •