Kritik an (Daten-)Sicherheit von klamm.de

[Stonebroke]

Ich bin ja dankbar, wenn ihr mir solche Lücken aufzeigt.
Jede Software hat diese ... und ich werde sie immer sofort schliessen.
Aber ich finde es ist sinnvoller wenn wir das unter uns klären.

Das finde ich auch!

Ich muss hier mittlerweile auch zugeben, das es mir lieber ist, per PN oder Mail auf lückenhafte Proggerei angesprochen zu werden.

Rund 90 Prozent aller PHP-Anwendungen sind bsw. wegen CSS (Cross Site Scripting) bedenklich. Abgesehen von den ganzen Mail-Scripts, die als SPAM-Schleuder missbraucht werden - und der Webbi sich danach wundert, das seine eigenen Mails via mail() bei den meisten Freemailern nicht mehr ankommt, weil sein Inhalt als Werbemüll bewertet wird.

Ne, .... das Thema stiftet hier nur Unruhe!

 

[saxxon]

Ich habe mir alles durchgelesen, aber wenn ich jeden Beitrag bzw. Satz [quoten] würde...
Absolute Sicherheit gibt es nur, wenn man den Stecker zieht!
Will das wer? Nein! Also muß man Kompromisse eingehen.
Jeden PKW könnte man absolut unfallsicher machen; könnte man dann noch fahren? Nein!
Es ist doch ein ständiger Wettlauf, fixt man etwas, taucht etwas neues auf usw.
Klamm soll doch für die breite Masse handlebar bleiben, oder? Also, muß man auch dort Kompromisse eingehen, wie z.B. mit den unverschlüsselten PW.
Dann ist da auch noch ein fähiger Webmaster, der superschnell reagiert, wenn ihm Fehler gemeldet werden. Der vor allem das Problem versteht und schnell eine Lösung sieht bzw. Vorschläge umsetzt. Kann man mehr erwarten?
Und was mir auch noch gegen den Strich geht: Ein "vernünftiger" Hacker hätte niemals solche Probleme öffentlich gepostet und damit andere auch noch animiert!
Solche Dinge klärt man intern!

 

[sebwie]

Also ich finde es gut, dass es Leute gibt, die solche Sicherheitslücken suchen und nicht ausnutzen. Bei so einer schwerwiegenden Sicherheitslücke und evtl. war das nicht die einzige! finde ich es gut, die User(vor allem bei einer so großen Anzahl) zu informieren ohne den Fehler selbst zu erläutern.
Schade nur, dass die User die Fehler finden dürfen und nicht irgendwie bei der Erstellung getestet o.ä. wird.
Genau wie bei den PC Spielen, wo ein Update meistens schon nach wenigen Tagen nach der Veröffentlichung des Spiels verfügbar ist und direkt viele Fehler bei den Anwendern vorhanden sind.

 

[DocTrax]

ein Fehler kann passieren, passiert MS tagtäglich und tagtäglich müssen irgendwelche Updates gezogen werden ...

Du tust grade so als wenn MS den Maßstab für Sotwaresicherheit festlegt.
Ich will jedenfalls meine persönlichen Daten in Sicherheit wissen, sonst mache ich eben falsche Angaben nur um die Cracker zu verwirren.

Wir hatten das bereits 2 Tage vorher im ICQ fertig gemacht.

Also ich finde es gut, dass hier so schnell Sicherheitslücken geschlossen werden - hätte ich Dir nicht zugetraut.

 

[Canadian]

Die Tatsache das du das ganze hier derart breittritts zeigt doch das du kein vernuenftiger "Hacker" sein kannst, denn DU gefaehrdest die Seite dadurch erst recht.

Korrekt wäre es gewesen einfach mal die Klappe zu halten, aber anscheinend reicht dir ein Danke und der Hinweis, dass der Bug gefixt wurde nicht aus.

Ich empfehle dir mal einen Link, damit du dir klarwirst was du eigentlich fuer einen Blödsinn von dir gegeben hast.

LINK

 

[Johnson]

Die Tatsache das du das ganze hier derart breittritts zeigt doch das du kein vernuenftiger "Hacker" sein kannst, denn DU gefaehrdest die Seite dadurch erst recht.

Die richtigen Pro's kommen so oder so. Sowas zieht wohl eher Scriptkiddies an. Und wenn die eine Gefahr für klamm sein sollten - na dann gute Nacht!

[...]
Ich empfehle dir mal einen Link, damit du dir klarwirst was du eigentlich fuer einen Blödsinn von dir gegeben hast.

LINK

Schön, und was sehen wir:

[...]
Nutze öffentliche Daten, schütze private Daten.

Er hat die Daten geschützt, indem er Lukas auf Bugs aufmerksam machte.
Da ihm diese Bugs wohl sehr sicherheitskritisch erschienen, da sie im ganzen System bei einem vergessenen Tick in einer Datenbankabfrage auftreten können, hielt er es für angebracht, die Öffentlichkeit davon in Kenntnis zu setzen.
Es ist in der Securityszene relativ weit verbreitet, Firmen damit unter Druck zu setzen, ihre Systeme abzusichern - und damit hat er doch den Grundsatz dieser "Gebote" erfüllt.

Die netteste Art ist es sicherlich nicht, aber wie ich raven kenne, weiß er sehr gut was er tut.

 

[raven]

Ich muss hier mittlerweile auch zugeben, das es mir lieber ist, per PN oder Mail auf lückenhafte Proggerei angesprochen zu werden.

Das habe ich auch getan, lies dir den Thread nochmal durch

Rund 90 Prozent aller PHP-Anwendungen sind bsw. wegen CSS (Cross Site Scripting) bedenklich.

Was soll man dazu sagen? Traurig, dass soviele Leute meinen, sich als Programmierer bezeichnen zu müssen, aber sowas nicht verhindern können.
Leid tun mir da nur immer die Endnutzer, die glauben, ihre Applikationen wären sicher.

Ich habe mir alles durchgelesen, aber wenn ich jeden Beitrag bzw. Satz [quoten] würde...

Dann ... ?

Klamm soll doch für die breite Masse handlebar bleiben, oder? Also, muß man auch dort Kompromisse eingehen, wie z.B. mit den unverschlüsselten PW.

Für die "breite Masse", wie du sie nennst, macht es (bis auf die PW-Anforderung) keinen Unterschied, ob das PW in der Datenbank verschlüsselt ist, oder nicht - zumindest im Handling. Im Falle von Sicherheitslücken macht es natürlich einen sehr starken Unterschied, vor allem, weil man grundsätzlich davon ausgehen kann, dass User ihre PWs mehrmals verwenden.
Der Satz macht also irgendwie keinen Sinn, wie die Sätze davor auch, wie ich finde.

Der vor allem das Problem versteht und schnell eine Lösung sieht bzw. Vorschläge umsetzt.

Sorry, aber ganz ehrlich. Ich habe erst einen Query vorgezeigt, in dem ich anstatt dem Passwort-Feld Version() als Ausgabe eingebaut habe. Erst, weil dann noch nicht verstanden wurde, dass man damit auch kritische Felder auslesen kann, musste ich noch mein Passwort auslesen ... ob das als "Problem schnell verstehen" durchgeht?
Ich meine, eine lange Leitung kann jeder mal haben, keine Frage, hab ich auch oft ... aber das war finde ich schon eindeutig genug und hat mich im ersten Moment argh blöd gucken lassen.

[...] und damit andere auch noch animiert!

Ich animiere hier gar keinen zu irgendwas, ansonsten hätte ich das hier ganz anders angegangen

Ich empfehle dir mal einen Link, damit du dir klarwirst was du eigentlich fuer einen Blödsinn von dir gegeben hast.

Ich empfehle dir, die Links, die du mir gibst, vorher durchzulesen, ehe du am Ende falsch von irgendwelchen Dingen erzählst.

LINK

Alle Informationen müssen frei sein.

Wären die Informationen frei, hätte ich verschwiegen, dass Zugriff auf private Daten bestand?

Mülle nicht in den Daten anderer Leute

Hab ich gewiss nicht getan, ich habe nur meine eigenen Daten ausgelesen, und auch nur solche, die ich selber kenne und einsehen kann.

Öffentliche Daten nützen, private Daten schützen

Was sagt uns insbesondere der zweite Teil des Satzes?
Die privaten Daten waren NICHT geschützt, denn es bestand definitiv voller Einlesezugriff auf die klamm-Datenbank. Es wurde zwar versucht diese Daten zu schützen, durch Passwörter, aber dieser Bug hat diesen Schutz umgangen. Alles was darin liegt (also Adressdaten, Passwörter, ...) hätte mit diesen Bugs also auch ausgelesen werden können - sollte ein weiterer Bug dieser Klasse bestehen ist das immernoch möglich.
Ich mache also die User darauf aufmerksam, dass ihre privaten Daten nicht geschützt waren, was ich persönlich als sehr schlecht empfinde, einige scheinen das hier anders zu sehen, wie mir scheint.

Die restlichen Teile der Hackerethik sind für diesen Fall irrelevant

 

[Querulant]

Leute, ich tut alle so als währe es nciht schlimm wenn eure Accis gehackt worden wären!

Jetzt sagt ihr alle: Macht doch nciht son Aufstand ect.

Was hättet ihr aber gesagt wenn eure Accis alle weg wären, eure Adressen an Firmen verkauft worden wären udn ihrSpam zu Hause und an eure Mailadresse bekommen hättet?

Denkt doch mal so...

 

[cocakiller]

Aber deshalb ist das noch lange kein Grund Klamm als "unsichere" Seite hinzustellen, wo sich jeder frei bedienen kann, wenn er mal was braucht ?!
Allein auf der ersten Seite stehen schon einige Stellen von dir, die das behaupten.

Falls dir was an der Sicherheit missfällt, dann würde ich sagen, nehm Kontakt zu Admins auf, die werden dir in Sachen Account (auch nur zeitweise, damit du zurückkommen kannst ) sperren helfen.

...

coca

 

[Biehler]

Was hättet ihr aber gesagt wenn eure Accis alle weg wären, eure Adressen an Firmen verkauft worden wären udn ihrSpam zu Hause und an eure Mailadresse bekommen hättet?

Ich würd mal sagen, ein guter Prozentsatz der Klammer hat eine HP, demzufolge gibt er auch seine Adresse preis.
Da brauchts gar keine gehackten Klamm Accounts.

Ich mein, die Leut regen sich darüber auf, dass jemand bemerkt hat, dass wo eine Klammer fehlt und selber geben sie ihre Daten auf ihrer eigenen HP oder anderen Seiten (Nickpage, o.ä.) preis.
Sicherlich nicht alle, aber ich würde schätzen, dass ein guter Prozentsatz dabei ist.

Das habe ich auch getan, lies dir den Thread nochmal durch

Was auch sehr lobenswert ist

ich schätze es sehr, wenn jemand einen auf Bugs hinweist, schließlich kann man nicht alles genau überprüfen.

Allerdings vertrete ich immer noch den Standpunkt, dass man es von sich aus nicht öffentlich machen muss.
Wenn der Admin es nicht macht, wird es schon einen Grund haben.

WENN der Admin nicht aktiv wird, DANN sollte man (um Druck auszuüben) die Öffentlichkeit auf eine bestehende Lücke hinwiesen (ohne natürlich im Detail darauf einzugehen).

Meiner Meinung nach hat jede Software Fehler, auch das kDe Script wird mit Sicherheit noch Lücken haben.
Wer also jetzt "androht" seinen Account zu löschen wegen mangelnder Sicherheit, sollte mal überdenken, ob er nicht seine restlichen Acounts auf den anderen Seiten nicht auch löschen sollte...

//Edit:
Nicht dass ihr das Falsch versteht, ich finde, solche Infos sollten Öffentlich gemacht werden, allerdings sollte man dies zumindest mit dem Admin absprechen.
Hab mal den beitrag etwas editiert, ich glaub, ich hab mich an ein paar Stellen etwas unglücklich ausgedrückt.

 

[Johnson]

Ich würd mal sagen, ein guter Prozentsatz der Klammer hat eine HP, demzufolge gibt er auch seine Adresse preis.
Da brauchts gar keine gehackten Klamm Accounts.[...]

Klar. Ich sterbe übrigens auch mal. Aber deswegen ist es mir eben nicht egal, ob ich morgen schon von einem Auto überrollt werde.

 

[Canadian]

Die Tatsache das du mir nen roten gegeben hast zeigt doch das du genau die Tatsache die HINTER DEM LINK STEHT nicht verstanden hast.

Er hat die Daten geschützt, indem er Lukas auf Bugs aufmerksam machte.
Da ihm diese Bugs wohl sehr sicherheitskritisch erschienen, da sie im ganzen System bei einem vergessenen Tick in einer Datenbankabfrage auftreten können, hielt er es für angebracht, die Öffentlichkeit davon in Kenntnis zu setzen.
Es ist in der Securityszene relativ weit verbreitet, Firmen damit unter Druck zu setzen, ihre Systeme abzusichern - und damit hat er doch den Grundsatz dieser "Gebote" erfüllt.

Falsch er versucht sich hier zu profilieren und unsinnige Panik zu verursachen das ist alles.

 

[Johnson]

Die Tatsache das du mir nen roten gegeben hast zeigt doch das du genau die Tatsache die HINTER DEM LINK STEHT nicht verstanden hast.

Zitate helfen beim Herstellen von Relationen zwischen Posts ungemein. Das nur am Rande.

Die Tatsachen hinter dem Link sind eindeutig: Private Daten schützen. Und dies hat raven, wie erläutert, gemacht.

Wahrscheinlich fehlt noch der Punkt:

Mißtraue Autoritäten

 

[BettyFan]

Nabend

warum habt ihr das denn nicht dem Lukas per PN mitgeteilt???? Musste das denn hier öffentlich geschrieben werden? Ich denke mal nein
Denn ich denke mal durch deinen Beitrag werden jetzt viele User verunsichert sein.

 

[tedlemegba]

Nabend

warum habt ihr das denn nicht dem Lukas per PN mitgeteilt????

Wurde es doch.. sogar noch 2 Tage vorher.

 

[BettyFan]

Na und warum wurde es dann hier extra noch mal gepostet? War es denn nötig? Finde ich persönlich nicht denn ich denke mal Lukas wird sofort nach Meldung geschaut haben.

 

[Canadian]

Sorry Johnson aber du hast es genauso nicht verstanden.
Um private daten zu schuetzen muss man nicht einen derartigen aufwand machen.
Durch genau solche Threads werden kiddies und "hobbyhacker" aufmerksam.

"Hey da wurden sicherheitsrelevante Bugs gefunden. such ich auch mal."

Lukas hat direkt bei bekanntwerden der Bugs eingegriffen und hat genau das getan was er musste.

Hätte er sich nicht drum gekuemmert oder nur langsam, wäre das zu verstehen gewesen in diesem Fall ist es reine Profilierung und unsinnige Panik mache.

 

[toni]

Na und warum wurde es dann hier extra noch mal gepostet? War es denn nötig? Finde ich persönlich nicht denn ich denke mal Lukas wird sofort nach Meldung geschaut haben.

Lies doch einfach erstmal den Thread, sind nur 7 Seiten!
Deine Fragen sind alle schon beantwortet

steht übrigens auf Seite 2/3

 

[yerusha]

Ja, ich gebe zu ich verwende das PW noch woanders! Ich bin auf über 25 Seiten angemeldet, glaubst du ich verwende 25 verschiedene PWs?

Du wirst lachen, aber seit mein Account vor einiger Zeit gehackt wurde und mein Guthaben und meine Lose verschwunden waren, habe ich auf jeder Loseseite ein eigenes Paßwort und ich bin bei mindestens 70 - 80 Loseseiten - ganz zu schweigen von diversen Foren, Meinungsforschungspanels und ähnlichem Kleinkram.
Paßwortverwaltung macht's möglich *g*

 

[BettyFan]

Ohje da haste aber ne menge zu tun **gg**