Zurück   klamm-Forum > klamm.de > klamm talk

Antwort
 
LinkBack Themen-Optionen Ansicht
Alt 16.05.2007, 08:54:07   #76 (permalink)
Böhser Onkel
Benutzerbild von PlaciD

ID: 55555
Lose-Remote

PlaciD eine Nachricht über ICQ schicken
Reg: 11.02.2007
Beiträge: 736
Standard

Ich habe eigentlich nur eine Frage, und zwar an raven: Als du diesen Thread hier eröffnet hast, waren da die Sicherheitslücken noch offen (trotz deiner Mitteilung an klamm) oder waren sie bereits geschlossen?

PlaciD
If you ask a question, you should never be afraid to hear the answer!
---
I hear an unholy noise!
PlaciD ist offline   Mit Zitat antworten
Alt 16.05.2007, 08:59:08   #77 (permalink)
Administrator
Benutzerbild von klamm

ID: 20876
Lose-Remote

Reg: 20.04.2006
Beiträge: 10.969
Standard

Zitat:
Zitat von PlaciD Beitrag anzeigen
Ich habe eigentlich nur eine Frage, und zwar an raven: Als du diesen Thread hier eröffnet hast, waren da die Sicherheitslücken noch offen (trotz deiner Mitteilung an klamm) oder waren sie bereits geschlossen?
Wir hatten das bereits 2 Tage vorher im ICQ fertig gemacht.
Gefunden >> geschlossen.
 
klamm ist offline   Mit Zitat antworten
Alt 16.05.2007, 15:06:05   #78 (permalink)
!$@!$

ID: 271423
Lose-Remote

the13th eine Nachricht über ICQ schicken the13th eine Nachricht über Skype™ schicken
Reg: 17.01.2007
Beiträge: 151
Standard

Zitat:
Zitat von klamm Beitrag anzeigen
Wir hatten das bereits 2 Tage vorher im ICQ fertig gemacht.
Gefunden >> geschlossen.
Und weil nun 2 Fehler von einem User, welcher eben die Lücke, zumindest nach eigener Aussage - und das will ich ihm dann auch mal glauben - nicht ausgenutzt hat, ist das Thema durch - so deine Aussage?

Kannst mich gerne korrigieren wenn dem nicht der Fall sein sollte - aber genau diesen Schluss lassen deine bisherigen Äusserungen zu - leider.


Auch die Sache mit dem "Ja aber dann kommen Supporttickets wegen den Passwörtern" ist irgendwie - sagen wir mal: Merkwürdig.

Was ist die lieber?
Supporttickets bei denen du dann auf eine eigens dafür angelegte FAQ verweisen kannst (ja - sowas kann man schreiben) oder aber Supporttickets wegen missbräuchlich verwendeter Daten/Accountdiebstahl etc.?

Sicher - Trojaner, Scrupt-Virii und dergleichen sind -DERZEIT - das größere Übel - dennoch sollte man als Projektbetreuer, Webmaster oder wie auch immer zuallererst vor seiner eigenen Haustür kehren ehe man ankommt nach dem Motto: "Da draußen gibts auch böse Menschen!"
the13th ist offline   Mit Zitat antworten
Alt 16.05.2007, 15:09:43   #79 (permalink)
Administrator
Benutzerbild von klamm

ID: 20876
Lose-Remote

Reg: 20.04.2006
Beiträge: 10.969
Standard

Zitat:
Zitat von the13th Beitrag anzeigen
Und weil nun 2 Fehler von einem User, welcher eben die Lücke, zumindest nach eigener Aussage - und das will ich ihm dann auch mal glauben - nicht ausgenutzt hat, ist das Thema durch - so deine Aussage?
Das Thema ist für mich so lange durch, bis ich - oder ein User - noch einen Bug/eine Lücke findet, die geschlossen gehört. Ich bin nach wie vor am Suchen aber auch ich kann immer wieder was übersehen.
 
klamm ist offline   Mit Zitat antworten
Alt 16.05.2007, 15:14:18   #80 (permalink)
!$@!$

ID: 271423
Lose-Remote

the13th eine Nachricht über ICQ schicken the13th eine Nachricht über Skype™ schicken
Reg: 17.01.2007
Beiträge: 151
Standard

Zitat:
Zitat von klamm Beitrag anzeigen
Das Thema ist für mich so lange durch, bis ich - oder ein User - noch einen Bug/eine Lücke findet, die geschlossen gehört. Ich bin nach wie vor am Suchen aber auch ich kann immer wieder was übersehen.
Dann ist erstrecht dein erster Post in diesem Thread daneben - weil dieser einen in eine völlig andere Richtung weist.

Niemand behauptet hier ohne Fehler zu sein - aber man sollte erwarten können das ein Betreiber einer Seite in der Größe wie klamm.de sich ein bisschen mehr Gedanken um solche Themen macht - und wie bereits mehrfach angemerkt: ein verschlüsseln der Passwörter wäre das mindeste.

Selbst ich mit meiner Popelseite verschlüssel SÄMTLICHE persönliche Daten (Passwörter einwegverschlüsselt, restliche Daten entschlüsselbar - mit dem entsprechende Key) - und sowas sehe ich eigentlich als selbstverständlich an.

Du kannst die User noch so sehr ermahnen das sie ihr Passwort nicht führ mehrere Zwecke verwenden sollen - sie werden es dennoch tun - also solltest DU einen Anfang machen.
the13th ist offline   Mit Zitat antworten
Alt 17.05.2007, 02:09:47   #81 (permalink)
klammUrgestein
Benutzerbild von Stonebroke

ID: 21194
Lose-Remote

Reg: 10.06.2006
Beiträge: 2.380
Standard

Zitat:
Zitat von klamm Beitrag anzeigen
Ich bin ja dankbar, wenn ihr mir solche Lücken aufzeigt.
Jede Software hat diese ... und ich werde sie immer sofort schliessen.
Aber ich finde es ist sinnvoller wenn wir das unter uns klären.
Das finde ich auch!

Ich muss hier mittlerweile auch zugeben, das es mir lieber ist, per PN oder Mail auf lückenhafte Proggerei angesprochen zu werden.

Rund 90 Prozent aller PHP-Anwendungen sind bsw. wegen CSS (Cross Site Scripting) bedenklich. Abgesehen von den ganzen Mail-Scripts, die als SPAM-Schleuder missbraucht werden - und der Webbi sich danach wundert, das seine eigenen Mails via mail() bei den meisten Freemailern nicht mehr ankommt, weil sein Inhalt als Werbemüll bewertet wird.

Ne, .... das Thema stiftet hier nur Unruhe!
Stonebroke ist offline   Mit Zitat antworten
Alt 17.05.2007, 02:50:02   #82 (permalink)
Erfahrener Benutzer

ID: 6081
Lose-Remote

Reg: 07.05.2006
Beiträge: 932
Standard

Ich habe mir alles durchgelesen, aber wenn ich jeden Beitrag bzw. Satz [quoten] würde...
Absolute Sicherheit gibt es nur, wenn man den Stecker zieht!
Will das wer? Nein! Also muß man Kompromisse eingehen.
Jeden PKW könnte man absolut unfallsicher machen; könnte man dann noch fahren? Nein!
Es ist doch ein ständiger Wettlauf, fixt man etwas, taucht etwas neues auf usw.
Klamm soll doch für die breite Masse handlebar bleiben, oder? Also, muß man auch dort Kompromisse eingehen, wie z.B. mit den unverschlüsselten PW.
Dann ist da auch noch ein fähiger Webmaster, der superschnell reagiert, wenn ihm Fehler gemeldet werden. Der vor allem das Problem versteht und schnell eine Lösung sieht bzw. Vorschläge umsetzt. Kann man mehr erwarten?
Und was mir auch noch gegen den Strich geht: Ein "vernünftiger" Hacker hätte niemals solche Probleme öffentlich gepostet und damit andere auch noch animiert!
Solche Dinge klärt man intern!
Liebe Dorfsheriffs und Hausmeister! Zur Netiquette gehört auch, daß man keine anonymen Bewertungen schreibt!
saxxon ist offline   Mit Zitat antworten
Alt 17.05.2007, 18:18:40   #83 (permalink)
Neuer Benutzer

Reg: 17.05.2007
Beiträge: 1
Standard

Also ich finde es gut, dass es Leute gibt, die solche Sicherheitslücken suchen und nicht ausnutzen. Bei so einer schwerwiegenden Sicherheitslücke und evtl. war das nicht die einzige! finde ich es gut, die User(vor allem bei einer so großen Anzahl) zu informieren ohne den Fehler selbst zu erläutern.
Schade nur, dass die User die Fehler finden dürfen und nicht irgendwie bei der Erstellung getestet o.ä. wird.
Genau wie bei den PC Spielen, wo ein Update meistens schon nach wenigen Tagen nach der Veröffentlichung des Spiels verfügbar ist und direkt viele Fehler bei den Anwendern vorhanden sind.
 
sebwie ist offline   Mit Zitat antworten
Alt 17.05.2007, 19:25:08   #84 (permalink)
Erfahrener GNUtzer
Benutzerbild von DocTrax

ID: 147546
Lose-Remote

DocTrax eine Nachricht über ICQ schicken DocTrax eine Nachricht über Skype™ schicken
Reg: 26.04.2006
Beiträge: 2.894
Standard

Zitat:
Zitat von wittis-web.de Beitrag anzeigen
ein Fehler kann passieren, passiert MS tagtäglich und tagtäglich müssen irgendwelche Updates gezogen werden ...
Du tust grade so als wenn MS den Maßstab für Sotwaresicherheit festlegt.
Ich will jedenfalls meine persönlichen Daten in Sicherheit wissen, sonst mache ich eben falsche Angaben nur um die Cracker zu verwirren.

Zitat:
Zitat von klamm Beitrag anzeigen
Wir hatten das bereits 2 Tage vorher im ICQ fertig gemacht.
Also ich finde es gut, dass hier so schnell Sicherheitslücken geschlossen werden - hätte ich Dir nicht zugetraut.
-'-.-'-.-'-.-'-.-
DocTrax ist offline   Mit Zitat antworten
Alt 17.05.2007, 19:31:39   #85 (permalink)
img69.de
Benutzerbild von Canadian

ID: 100238
Lose-Remote

Reg: 29.04.2006
Beiträge: 821
Standard

Die Tatsache das du das ganze hier derart breittritts zeigt doch das du kein vernuenftiger "Hacker" sein kannst, denn DU gefaehrdest die Seite dadurch erst recht.

Korrekt wäre es gewesen einfach mal die Klappe zu halten, aber anscheinend reicht dir ein Danke und der Hinweis, dass der Bug gefixt wurde nicht aus.

Ich empfehle dir mal einen Link, damit du dir klarwirst was du eigentlich fuer einen Blödsinn von dir gegeben hast.

LINK
kopfzoo ; kostenloser DateiUpload img69.de
"Meinst du, dass sie die Gedanken genommen haben, die wir gedacht haben und wollen, dass unsere Gedanken, die wir gedacht haben, die Gedanken sind, die wir jetzt denken? Denkst du das?"
Bannerplaetze auf Dateihoster zu verkaufen
Canadian ist offline   Mit Zitat antworten
Alt 17.05.2007, 20:01:30   #86 (permalink)
Code-Frevler

ID: 118054
Lose-Remote

Reg: 20.04.2006
Beiträge: 860
Standard

Zitat:
Zitat von Canadian Beitrag anzeigen
Die Tatsache das du das ganze hier derart breittritts zeigt doch das du kein vernuenftiger "Hacker" sein kannst, denn DU gefaehrdest die Seite dadurch erst recht.
Die richtigen Pro's kommen so oder so. Sowas zieht wohl eher Scriptkiddies an. Und wenn die eine Gefahr für klamm sein sollten - na dann gute Nacht!

Zitat:
Zitat von Canadian Beitrag anzeigen
[...]
Ich empfehle dir mal einen Link, damit du dir klarwirst was du eigentlich fuer einen Blödsinn von dir gegeben hast.

LINK
Schön, und was sehen wir:
Zitat:
Zitat von CCC|Hackerethik
[...]
Nutze öffentliche Daten, schütze private Daten.
Er hat die Daten geschützt, indem er Lukas auf Bugs aufmerksam machte.
Da ihm diese Bugs wohl sehr sicherheitskritisch erschienen, da sie im ganzen System bei einem vergessenen Tick in einer Datenbankabfrage auftreten können, hielt er es für angebracht, die Öffentlichkeit davon in Kenntnis zu setzen.
Es ist in der Securityszene relativ weit verbreitet, Firmen damit unter Druck zu setzen, ihre Systeme abzusichern - und damit hat er doch den Grundsatz dieser "Gebote" erfüllt.

Die netteste Art ist es sicherlich nicht, aber wie ich raven kenne, weiß er sehr gut was er tut.
 
Johnson ist offline   Mit Zitat antworten
Alt 17.05.2007, 20:36:49   #87 (permalink)
Moderator

Reg: 20.04.2006
Beiträge: 5.061
Standard

Zitat:
Zitat von Stonebroke Beitrag anzeigen
Ich muss hier mittlerweile auch zugeben, das es mir lieber ist, per PN oder Mail auf lückenhafte Proggerei angesprochen zu werden.
Das habe ich auch getan, lies dir den Thread nochmal durch

Zitat:
Zitat von Stonebroke Beitrag anzeigen
Rund 90 Prozent aller PHP-Anwendungen sind bsw. wegen CSS (Cross Site Scripting) bedenklich.
Was soll man dazu sagen? Traurig, dass soviele Leute meinen, sich als Programmierer bezeichnen zu müssen, aber sowas nicht verhindern können.
Leid tun mir da nur immer die Endnutzer, die glauben, ihre Applikationen wären sicher.

Zitat:
Zitat von saxxon Beitrag anzeigen
Ich habe mir alles durchgelesen, aber wenn ich jeden Beitrag bzw. Satz [quoten] würde...
Dann ... ?

Zitat:
Zitat von saxxon Beitrag anzeigen
Klamm soll doch für die breite Masse handlebar bleiben, oder? Also, muß man auch dort Kompromisse eingehen, wie z.B. mit den unverschlüsselten PW.

Für die "breite Masse", wie du sie nennst, macht es (bis auf die PW-Anforderung) keinen Unterschied, ob das PW in der Datenbank verschlüsselt ist, oder nicht - zumindest im Handling. Im Falle von Sicherheitslücken macht es natürlich einen sehr starken Unterschied, vor allem, weil man grundsätzlich davon ausgehen kann, dass User ihre PWs mehrmals verwenden.
Der Satz macht also irgendwie keinen Sinn, wie die Sätze davor auch, wie ich finde.

Zitat:
Zitat von saxxon Beitrag anzeigen
Der vor allem das Problem versteht und schnell eine Lösung sieht bzw. Vorschläge umsetzt.
Sorry, aber ganz ehrlich. Ich habe erst einen Query vorgezeigt, in dem ich anstatt dem Passwort-Feld Version() als Ausgabe eingebaut habe. Erst, weil dann noch nicht verstanden wurde, dass man damit auch kritische Felder auslesen kann, musste ich noch mein Passwort auslesen ... ob das als "Problem schnell verstehen" durchgeht?
Ich meine, eine lange Leitung kann jeder mal haben, keine Frage, hab ich auch oft ... aber das war finde ich schon eindeutig genug und hat mich im ersten Moment argh blöd gucken lassen.

Zitat:
Zitat von saxxon Beitrag anzeigen
[...] und damit andere auch noch animiert!
Ich animiere hier gar keinen zu irgendwas, ansonsten hätte ich das hier ganz anders angegangen

Zitat:
Zitat von Canadian Beitrag anzeigen
Ich empfehle dir mal einen Link, damit du dir klarwirst was du eigentlich fuer einen Blödsinn von dir gegeben hast.
Ich empfehle dir, die Links, die du mir gibst, vorher durchzulesen, ehe du am Ende falsch von irgendwelchen Dingen erzählst.

Zitat:
Zitat von Canadian Beitrag anzeigen
Zitat:
Zitat von Hackerethik des CCC
Alle Informationen müssen frei sein.
Wären die Informationen frei, hätte ich verschwiegen, dass Zugriff auf private Daten bestand?

Zitat:
Zitat von Hackerethik des CCC
Mülle nicht in den Daten anderer Leute
Hab ich gewiss nicht getan, ich habe nur meine eigenen Daten ausgelesen, und auch nur solche, die ich selber kenne und einsehen kann.

Zitat:
Zitat von Hackerethik des CCC
Öffentliche Daten nützen, private Daten schützen
Was sagt uns insbesondere der zweite Teil des Satzes?
Die privaten Daten waren NICHT geschützt, denn es bestand definitiv voller Einlesezugriff auf die klamm-Datenbank. Es wurde zwar versucht diese Daten zu schützen, durch Passwörter, aber dieser Bug hat diesen Schutz umgangen. Alles was darin liegt (also Adressdaten, Passwörter, ...) hätte mit diesen Bugs also auch ausgelesen werden können - sollte ein weiterer Bug dieser Klasse bestehen ist das immernoch möglich.
Ich mache also die User darauf aufmerksam, dass ihre privaten Daten nicht geschützt waren, was ich persönlich als sehr schlecht empfinde, einige scheinen das hier anders zu sehen, wie mir scheint.

Die restlichen Teile der Hackerethik sind für diesen Fall irrelevant
 
raven ist offline Threadstarter   Mit Zitat antworten
Alt 17.05.2007, 21:14:51   #88 (permalink)
SEO

ID: 165221
Lose-Remote
Abwesend

Querulant eine Nachricht über ICQ schicken
Reg: 20.04.2006
Beiträge: 4.648
Standard

Leute, ich tut alle so als währe es nciht schlimm wenn eure Accis gehackt worden wären!

Jetzt sagt ihr alle: Macht doch nciht son Aufstand ect.

Was hättet ihr aber gesagt wenn eure Accis alle weg wären, eure Adressen an Firmen verkauft worden wären udn ihrSpam zu Hause und an eure Mailadresse bekommen hättet?

Denkt doch mal so...
.
Querulant ist offline   Mit Zitat antworten
Alt 17.05.2007, 21:56:43   #89 (permalink)
Gesperrt

ID: 183413
Lose-Remote
Gesperrt

Reg: 11.10.2006
Beiträge: 1.149
Standard

Aber deshalb ist das noch lange kein Grund Klamm als "unsichere" Seite hinzustellen, wo sich jeder frei bedienen kann, wenn er mal was braucht ?!
Allein auf der ersten Seite stehen schon einige Stellen von dir, die das behaupten.

Falls dir was an der Sicherheit missfällt, dann würde ich sagen, nehm Kontakt zu Admins auf, die werden dir in Sachen Account (auch nur zeitweise, damit du zurückkommen kannst ) sperren helfen.

...

coca
 
cocakiller ist offline   Mit Zitat antworten
Alt 17.05.2007, 22:23:19   #90 (permalink)
BiehlerProductions

ID: 89792
Lose-Remote

Reg: 04.05.2006
Beiträge: 1.949
Standard

Zitat:
Zitat von Andre Beitrag anzeigen

Was hättet ihr aber gesagt wenn eure Accis alle weg wären, eure Adressen an Firmen verkauft worden wären udn ihrSpam zu Hause und an eure Mailadresse bekommen hättet?
Ich würd mal sagen, ein guter Prozentsatz der Klammer hat eine HP, demzufolge gibt er auch seine Adresse preis.
Da brauchts gar keine gehackten Klamm Accounts.

Ich mein, die Leut regen sich darüber auf, dass jemand bemerkt hat, dass wo eine Klammer fehlt und selber geben sie ihre Daten auf ihrer eigenen HP oder anderen Seiten (Nickpage, o.ä.) preis.
Sicherlich nicht alle, aber ich würde schätzen, dass ein guter Prozentsatz dabei ist.

Zitat:
Das habe ich auch getan, lies dir den Thread nochmal durch
Was auch sehr lobenswert ist

ich schätze es sehr, wenn jemand einen auf Bugs hinweist, schließlich kann man nicht alles genau überprüfen.

Allerdings vertrete ich immer noch den Standpunkt, dass man es von sich aus nicht öffentlich machen muss.
Wenn der Admin es nicht macht, wird es schon einen Grund haben.

WENN der Admin nicht aktiv wird, DANN sollte man (um Druck auszuüben) die Öffentlichkeit auf eine bestehende Lücke hinwiesen (ohne natürlich im Detail darauf einzugehen).

Meiner Meinung nach hat jede Software Fehler, auch das kDe Script wird mit Sicherheit noch Lücken haben.
Wer also jetzt "androht" seinen Account zu löschen wegen mangelnder Sicherheit, sollte mal überdenken, ob er nicht seine restlichen Acounts auf den anderen Seiten nicht auch löschen sollte...

//Edit:
Nicht dass ihr das Falsch versteht, ich finde, solche Infos sollten Öffentlich gemacht werden, allerdings sollte man dies zumindest mit dem Admin absprechen.
Hab mal den beitrag etwas editiert, ich glaub, ich hab mich an ein paar Stellen etwas unglücklich ausgedrückt.
Diese Seite beweist, was bisher keine Studie beweisen konnte: Die Intelligenz deutscher Bürger wird unterwandert von einer zeitung und deren Onlineportal!
Biehler ist offline   Mit Zitat antworten
Antwort

Gesponsorte Links

Anzeige


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind an
Pingbacks sind an
Refbacks sind an


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Daten Sicherung/Sicherheit und Widerherstellung MidnightLord Software/Windows 1 09.12.2006 13:46:03
Sicherheit bei Klamm.de Kluex Verbesserungsvorschläge 14 05.10.2006 15:47:35


Alle Zeitangaben in WEZ +2. Es ist jetzt 02:20:44 Uhr.