Geht dieser Referer-Kack jetzt hier auch schon los?! (Thema: neues Captcha & referer-Abfrage)

[Eckieck]

Für alle anderen Seiten habe ich eigentlich meinen "Spezialreferer"

Ich hab halt jetzt für https://api.recaptcha.net/ so eingestellt, dass der auch
https://api.recaptcha.net/ als Referer sendet. So ist das Script, dass den Sicherheitscode erzeugt, auch zufrieden.

Stell halt für alle immer die Adresse der aktuell aufzurufenden Seite ein

 

[DayJay]

Sehr schön in meinem Browser zeigt er es gar nicht erst an

 

[T-Flow]

das ganze halt ohne das Leerzeichen zwischen den Wörtern, aber dafür mit allen Bindestrich oder was weiss ich was da noch für Zeichen drin vorkommen...

Also ich hab das immer mit Leerzeichen eingetippt und als ich bei Passwort dann auch noch das Richtige eingetippt habe, ging es sogar

aber T hat wenigstens den Charakter und gibt dann zu, dass er Mist gebaut hat

Ich bin halt auch nur ein etwas verbugter Mensch

Das ist ein menschliches Phänomenen, immer sind die anderen Schuld, bis sie dir beweisen, dass du es selbst verbockt hast *g*

 

[Drangi]

Also ich habe gerade eine PN mit zwei mir völlig unbekannten Passwörtern erhalten.
Ich hätte ein mir unbekanntes anstatt des mir anderen unbekannten Passwortes eingeben.

Das kann definitiv nicht sein. Solche Passwörter habe ich noch nie benutzt.

Ich denke, ich habe auch ein Hackerproblem.

 

[theHacker]

Stell halt für alle immer die Adresse der aktuell aufzurufenden Seite ein

Wäre doch langweilig ...und die Webmaster hätten keinen Spaß mehr (Notiz an mich: mal das Pic wechseln )

 

[DayJay]

Kann mir bitte mal jemand helfen büdde? Ich hab Flock als Browser und aus irgendeinem Grund mag der mir das Captcha nicht laden. Hab da jetzt ein weißes Feld. Auch ein Klick auf "Neu generieren" bringt nix. Java usw alles erlaubt...

 

[Smurfy]

NoScript installiert? recaptcha.net muss erlaubt sein

 

[DayJay]

Wunderbar Danke. Gleich mal Lose verschickt

 

[sulospace]

Mit ein bischen Fantasie und Englisch Kenntnissen kann man den Code lesen....

 

[trooper1976]

Öhh, was hat der Captcha-Code mit den Account-Hacks zu tun???? Das habe ich nicht so gerallt, kann mir einer das etwas näher bringen, wäre Super.

Gruß
Trooper1976

 

[Saralx]

Mit ein bischen Fantasie und Englisch Kenntnissen kann man den Code lesen....

Das ist die Intention dahinter, ja....

 

[Benutzer-2472]

Öhh, was hat der Captcha-Code mit den Account-Hacks zu tun???? Das habe ich nicht so gerallt, kann mir einer das etwas näher bringen, wäre Super.

Gruß
Trooper1976

Die Vermutung liegt nahe, dass jemand die Zahlen doch auslesen konnte und somit per Script die Passworte prüfen konnte / sich ins System einloggte.
Das versucht man durch die neuen Bildchen zu verhindern.

 

[trooper1976]

Hmm, ich denke mal, das es nicht am Auslesen von captcha-codes liegt. Ich weiss von 2 Sicherheitsrisiken bei Klamm, beide haben nichts mit dem Captcha-Code zu tun.

Gruß
Trooper1976

 

[klamm]

Hmm, ich denke mal, das es nicht am Auslesen von captcha-codes liegt. Ich weiss von 2 Sicherheitsrisiken bei Klamm, beide haben nichts mit dem Captcha-Code zu tun.

Also das Captcha wurde definitiv ausgelesen. Das beim Login war ja auch super einfach. Schnelles Brute Force wurde zwar durch 3 Versuche/10min verhindert aber die hatten halt ein "langsames Brute Force" über zig100 Accounts und längere Zeiträume gemacht.

Wenn Du von echten Sicherheitslücken weisst, wärs schon toll, wenn Du uns diese auch mitteilen würdest ... (per PN)

 

[trooper1976]

Hi Lukas, hast ne PN

Gruß
Trooper1976

 

[Djdjrjf8e]

[...]

Wenn Du von echten Sicherheitslücken weisst, wärs schon toll, wenn Du uns diese auch mitteilen würdest ... (per PN)

Ich mache mal auf einen heise-Artikel aufmerksam: Link

Darin geht es darum, das Scripts trotz des Sicherheitskonzepts bei aktuellen Browsern über Domain-Grenzen folgen können und sogar bei einem manuellen Aufruf den Kontakt nicht verlieren.. Die Sicherheit stellen solche Scripts bzw. Attackierungsmöglichkeiten von Passwörtern und dergleichen ad absurdum.

Gruß,

jiw

 

[klamm]

Ich mache mal auf einen heise-Artikel aufmerksam: Link

Darin geht es darum, das Scripts trotz des Sicherheitskonzepts bei aktuellen Browsern über Domain-Grenzen folgen können und sogar bei einem manuellen Aufruf den Kontakt nicht verlieren.. Die Sicherheit stellen solche Scripts bzw. Attackierungsmöglichkeiten von Passwörtern und dergleichen ad absurdum.

Das läuft aber wieder auf der "keylogger"-Ebene.
Hier gehts ja aktuell drum, Passwort-BrutForce zu unterbinden.

 

[joschilein]

Vor ein paar Tagen habe ich zwar auf einem anderen Computer seltsame Probleme mit dem Login gehabt, aber mittlerweile sieht es in Ordnung aus.

Nur was gerade mein Problem ist: Ich hatte mich eben schon gewundert, dass die 4 Wochen angeblich schon rum sind und beim Login kam dann auch nicht, dass der Sicherheitscode, sondern das Passwort falsch ist, obwohl ich das mit an Sicherheit grenzender Wahrscheinlichkeit nicht zweimal falsch eingeben würde.

Gab es heute (ab ca. 2 Uhr bis 11 Uhr) irgendwelche Aktivitäten in meinem Account incl. Passwortänderung? Lose sind noch da, Geld ist noch da, Nickpage ist nicht verunstaltet.., aber irgendwas muss doch gewesen sein.

 

[Norby51]

, aber irgendwas muss doch gewesen sein.

Mal die News gelesen? Viel. bist Du davon betroffen?
Hth
Greets
Norbert

Ätsch Jiw, 3 sekunden zu spät

 

[Djdjrjf8e]

[...]
Gab es heute (ab ca. 2 Uhr bis 11 Uhr) irgendwelche Aktivitäten in meinem Account incl. Passwortänderung? Lose sind noch da, Geld ist noch da, Nickpage ist nicht verunstaltet.., aber irgendwas muss doch gewesen sein.

Siehe: https://www.klamm.de/partner/start_news.php

Gruß,

jiw

Edit: Norby was is los... so fix?!