Zurück   klamm-Forum > klamm.de > klamm talk > Bug-Report

Like Tree27Likes

Antwort
 
LinkBack Themen-Optionen Ansicht
Alt 03.02.2015, 15:02:57   #31 (permalink)
kalt draußen,oder?
Benutzerbild von kbot

ID: 50740
Lose-Remote
Reallife

Reg: 20.04.2006
Beiträge: 4.048
Standard

Zitat:
Zitat von daric Beitrag anzeigen
Spielt das denn eine Rolle?

Was ist das denn bitte für eine Risikoanalyse wenn Du Gefahren niedrig bewertest nur weil sie noch nicht eingetreten sind? Die Tragweite diese Falles würde ich als durchaus hoch bewerten, was auf jeden Fall Handlungsbedarf auslöst.

Wenn Du Passwortschutz für bestimmte Daten anbietest, darf dieser Schutz nicht durch irgendeine Suchmaschine/Linkkonstallation übergangen werden können.
ODER man muß im Voraus klar darauf hinweisen, dass diese Zugriffschutz nur rudimentär ist.

Möglicherweise wurden andere Bilder schon x-fach offengelegt was keinem aufgefallen ist da der Nutzer der Suchmaschine ja nicht weiß, dass die Bilder geschützt sein sollten.
bitte hör mal auf ständig theoretisch zu diskutieren zeig mir bitte mal wie man geschützte Bilder bei Google findet!

das was der Threadersteller tat, war dass er selbst sein geschütztes Bild bei Google "hochlud", sein Bild ist durch die Adresse selbst nicht bei Google auffindbar, genauso wie jedes andere geschützte Bild nicht auffindbar ist

es besteht keine Gefahr, dass geschützte Bilder von irgendeinem User bei Google landen, wenn diese nicht von jemandem auf irgendeine Art veröffentlicht wurden

dieser Thread wurde nur eröffnet, weil der User nicht verstand wie Google funktioniert und dass die Weitergabe von geschützten Materialien eben keinen Schutz mehr bietet

klammbild.jpg
Zitat:
Zitat von Columbus Beitrag anzeigen
Ich gehe mal mit Mone kondom, solche Interna gehen keine User etwas an, ...
kbot ist offline   Mit Zitat antworten
Alt 03.02.2015, 16:10:01   #32 (permalink)
Primus inter pares
Benutzerbild von DaPhreak

ID: 30143
Lose-Remote

DaPhreak eine Nachricht über ICQ schicken
Reg: 08.05.2006
Beiträge: 2.261
Standard

Zitat:
Zitat von baggacfreak Beitrag anzeigen
Irgendwie schon lustig, dass sich hier immer alle über Facebook beschweren, dann aber klamm in Schutz nehmen, wenn es um Sicherheit geht.
Wenn es ein Sicherheitsproblem gäbe würde ich klamm sicher nicht in Schutz nehmen aber ich sehe das Problem einfach nicht. Der URL ist das Passwort, wer den URL postet hat sein Passwort verraten. Ist für mich ganz logisch?

Zitat:
Zitat von baggacfreak Beitrag anzeigen
Ich habe das Bild nicht bei Google "hochgeladen" nur die URL reicht aus, um das Bild bei Google zu sehen. Nachdem Google mit Leichtigkeit mit seinen Crawlern Bilder von Seiten indiziert (macht es ja nicht erst seit gestern) ist das nicht schön.
Googles Crawler indizieren das was sie finden können. Nur wenn Du den URL öffentlich postest kann Google ihn finden. "Von selbst" passiert das jedenfalls nicht, also leicht zu vermeiden.

Zitat:
Zitat von baggacfreak Beitrag anzeigen
Ein Hinweis Passwortschutz ist eigentlich unsinnig würde zwar helfen, aber dann braucht man sich auch nicht mehr wundern, wenn so wenige User bei Klamm sind.
Den Satz verstehe ich nicht.
Arusiek gefällt das.
"There is nothing noble in being superior to your fellow man. True nobility is being superior to your former self." - Ernest Hemingway
DaPhreak ist offline   Mit Zitat antworten
Alt 03.02.2015, 18:01:57   #33 (permalink)
Moderator
Benutzerbild von Arusiek

ID: 36574
Lose-Remote

Reg: 05.05.2006
Beiträge: 6.383
Standard

Zitat:
Zitat von jiw Beitrag anzeigen
Nur leider hat deine Kassette ein Loch auf der Rückseite an die jeder (Google) ran kann.

Tut mir Leid, deine Argumentation überzeugt mich nicht.
Wenn ein Schutz in Form eines Passworts da ist dann sollte dieses auch greifen. Ansonsten kann man es gleich entfernen und hinweisen das alle Bilder öffentlich sind.
k... Ich habe eben drei Bilder in einen geschützten Ordner geladen... Dank des "skandalösen Bugs" sollte es jetzt doch ein Leichtes für dich sein, "durch das Loch an der Rückseite zu greifen" und mir zumindest eines der Bilder hier zu posten... oder? Immerhin sind sie ja quasi öffentlich.

Gruß Aru
You're wondering now, what to do, now you know this is the end
You're wondering how, you will pay, for the way you misbehaved
Curtain has fallen, now you're on your own
I won't return, forever you will wait

Arusiek ist offline   Mit Zitat antworten
Alt 04.02.2015, 01:27:38   #34 (permalink)
jiw VERIFIZIERTER User
Erfahrener Benutzer
Benutzerbild von jiw

ID: 33571
Lose-Remote

Reg: 20.04.2006
Beiträge: 2.628
Standard

Zitat:
Zitat von Arusiek Beitrag anzeigen
k... Ich habe eben drei Bilder in einen geschützten Ordner geladen... Dank des "skandalösen Bugs" sollte es jetzt doch ein Leichtes für dich sein, "durch das Loch an der Rückseite zu greifen" und mir zumindest eines der Bilder hier zu posten... oder? Immerhin sind sie ja quasi öffentlich.

Gruß Aru
skandalös kommt von Dir. Leg mir bitte keine Worte in den Mund, die ich nicht gesagt habe.

Und du drehst dich im Kreis, wenn ich einen Passwort geschützten Bereich habe hier auf Klamm, dann erwarte ich das dieser Bereich und die enthaltenen Daten durch niemand außerhalb erreichbar und aufrufbar ist. (... der das Passwort nicht kennt)

Ganz. Einfach.

Und ob Google nun diesen Bereich automatisch scannen oder erst durch Aufruf einer Datei aus diesem Bereich, geht auch am Thema vorbei.

Wieso darf Google einen geschützten Bereich ohne vorherige Authentifizierung (Passwort) überhaupt zugreifen?

Das scheinst Du, trotz Administrator-Rechte, anscheinend nicht zu verstehen.
Da frag ich mich doch ehrlich, ob diese Rechte
nicht zu viel sind.

Es ist egal was in einem Passwort geschützten Bereich liegt. Ohne Authentifizierung darf es nicht aufgerufen werden.
Wird der Token als Get mit an dieUrl gehängt,
freut sich jeder Proxy-Betreiber zwischen User und Klamm.de Sicherheit? Null.

Zu deinen Bildern, kopiere die URL, melde dich von Klamm ab, lösche die Cookies und Ruf dann die URLs über Google u. direkt auf.

Kommt eine PW Abfrage ist alles gut und wir können sicher sein, das der Schutz funktioniert.
Ist bei einem von beiden das enthaltene Bild zu sehen, hast Du ein Problem.

Muss ich dir wirklich erklären, wie man einen Schutz überprüft? ?
M3Y3R und baggacfreak gefällt das.
I'm back...
Zitat:
Zitat von jiw
"..wer auf Lose als Finanzierungs-Grundlage für seine Projekte setzt, hüpft auch in einem Kaktus-Feld auf nem Luftballon und hält das für eine sichere Fortbewegungs-Möglichkeit.

Geändert von jiw (04.02.2015 um 02:17:17 Uhr)
jiw ist offline   Mit Zitat antworten
Alt 04.02.2015, 02:05:44   #35 (permalink)
jiw VERIFIZIERTER User
Erfahrener Benutzer
Benutzerbild von jiw

ID: 33571
Lose-Remote

Reg: 20.04.2006
Beiträge: 2.628
Standard

Zitat:
Zitat von DaPhreak Beitrag anzeigen
... Der URL ist das Passwort, wer den URL postet hat sein Passwort verraten. Ist für mich ganz logisch?
Eine URL die in einen PW-Geschützen Bereich führt, ist das Passwort? Das ist keine Sicherheit, das ist krank
EDITH: ...und leider falsch. Die Bild-URL enthält keinerlei Authentifizierungsmerkmale sondern ist nach dem Muster:

http://img4.klamm.de/gallery/picz/30000/<Klamm-UserID>/<10stellige-Hex-Zahl>_big.<Datei-typ> aufgebaut.

zumindest bei dem von mir getesteten Bild.

Der Schutz bezieht sich tatsächlich nur auf den Zugriff über die Bilder-Alben des Users, nicht auf den direkten Zugriff per gewusster oder erratener URL.

Zitat:
Zitat von DaPhreak Beitrag anzeigen
Googles Crawler indizieren das was sie finden können. Nur wenn Du den URL öffentlich postest kann Google ihn finden. "Von selbst" passiert das jedenfalls nicht, also leicht zu vermeiden.
Der GoogleBot scannt mehrfach pro Tag / Stunde klamm.de ab, automatisch. Und nur, weil man per Browser eine Abfrage präsentiert bekommt, heißt es nicht automatisch, das der GoogleBot diese Abfrage überhaupt sieht.


Zitat:
Zitat von DaPhreak Beitrag anzeigen
Den Satz verstehe ich nicht.
Da hilft nur informieren zum Thema .htaccess / robots.txt, GoogleBot

Desweiteren bietet Google für Mobiles eine Datenkomprimierung an, wird ein Proxy-Server zwischen geschaltet, der die Daten komprimiert.
Ruft ein User seine Daten aus geschützten Bereich ab und Google wertet das Proxy-Log aus, weiß die Google Suche wo die Datei zu finden ist, OHNE je die Url öffentlich gepostet zu haben.
I'm back...
Zitat:
Zitat von jiw
"..wer auf Lose als Finanzierungs-Grundlage für seine Projekte setzt, hüpft auch in einem Kaktus-Feld auf nem Luftballon und hält das für eine sichere Fortbewegungs-Möglichkeit.

Geändert von jiw (04.02.2015 um 04:59:23 Uhr)
jiw ist offline   Mit Zitat antworten
Alt 04.02.2015, 10:05:27   #36 (permalink)
Primus inter pares
Benutzerbild von DaPhreak

ID: 30143
Lose-Remote

DaPhreak eine Nachricht über ICQ schicken
Reg: 08.05.2006
Beiträge: 2.261
Standard

Zitat:
Zitat von jiw Beitrag anzeigen
Die Bild-URL enthält keinerlei Authentifizierungsmerkmale sondern ist nach dem Muster:

http://img4.klamm.de/gallery/picz/30000/<Klamm-UserID>/<10stellige-Hex-Zahl>_big.<Datei-typ> aufgebaut.
<10stellige-Hex-Zahl> ist unbekannt und spielt somit hier die Rolle des Passworts. Dürfte sicherer sein als die Passwörter die manche Nutzer sich so ausdenken. Steht natürlich beim Aufruf im Klartext im HTTP-Get-Request. Ja und? Das würde für ein per Formular übertragenes Passwort nicht anders sein.


Zitat:
Zitat von jiw Beitrag anzeigen
Der GoogleBot scannt mehrfach pro Tag / Stunde klamm.de ab, automatisch.
Sicher tut er das. Er sieht dabei aber nur die Seiten die öffentlich zugängig sind. Solange $user nicht den Link (also die 10-stellige Hex-Zahl) im Forum oder sonstwo postet wird GoogleBot diesen Link nicht sehen und damit auch nicht indizieren.

Zitat:
Zitat von jiw Beitrag anzeigen
Und nur, weil man per Browser eine Abfrage präsentiert bekommt, heißt es nicht automatisch, das der GoogleBot diese Abfrage überhaupt sieht.
Und ob. Vorausgesetzt die Abfrage ist richtig implementiert. Ihr Zweck ist Authentifizierung, ein Bot ist ganz klar nicht authentifiziert - wenn er die Abfrage nicht sehen würde hätte sie ihren Zweck verfehlt.

Zitat:
Zitat von jiw Beitrag anzeigen
Da hilft nur informieren zum Thema .htaccess / robots.txt, GoogleBot
Mein Unverständnis bezog sich auf "eigentlich unsinnig würde zwar helfen, aber...". Wenn es helfen würde warum ist es dann unsinnig? Und wieso braucht man sich dann nicht wundern?

Ich halte übrigens eine robots.txt für das so ziemlich unsicherste Mittel, da sie nur eine Empfehlung darstellt.

Zitat:
Zitat von jiw Beitrag anzeigen
Desweiteren bietet Google für Mobiles eine Datenkomprimierung an, wird ein Proxy-Server zwischen geschaltet, der die Daten komprimiert.
Ruft ein User seine Daten aus geschützten Bereich ab und Google wertet das Proxy-Log aus
Seit wann wertet Google denn Proxy-Logs aus das wäre mir neu... Ich glaube auch, dass das schon aufgefallen wäre - denn viele Seiten nutzen die Technik (z.B. auch Facebook), dann müssten sich ja längst alle geschützten Bilder im Google Index befinden? Wenn da was dran wäre, müsste es dazu einen Artikel bei heise geben. Ich schaue mal ob ich was finde.

Natürlich muss klar sein, dass im Grunde jeder Proxy die URLs abfangen kann. Das gilt aber auch für über HTTP gesendete Passwörter. Für richtige Sicherheit hilft nur Ende-zu-Ende-Verschlüsselung, alles andere ist am Ende nicht mehr und nicht weniger sicher als das System was wir hier haben...
"There is nothing noble in being superior to your fellow man. True nobility is being superior to your former self." - Ernest Hemingway
DaPhreak ist offline   Mit Zitat antworten
Alt 04.02.2015, 10:48:43   #37 (permalink)
Erfahrener Benutzer

ID: 29391
Lose-Remote

Reg: 05.03.2007
Beiträge: 352
Standard

Zitat:
Zitat von DaPhreak Beitrag anzeigen
<10stellige-Hex-Zahl> ist unbekannt und spielt somit hier die Rolle des Passworts. Dürfte sicherer sein als die Passwörter die manche Nutzer sich so ausdenken. Steht natürlich beim Aufruf im Klartext im HTTP-Get-Request. Ja und? Das würde für ein per Formular übertragenes Passwort nicht anders sein.
Also diese Aussage zeigt wie wenig Ahnung der Verfasser hat! 10 stellige Hex Zahlen (Hash?) sind ja wohl nicht sicher und ein leichtes für findige Script Kiddies herauszufinden. Da sich der Seitenbesitzer auch nicht zum Thema äußert, habe ich meine Bedenken was die Sicherheit auf Klamm angeht. Da sind wohl einige Admins mit dem Denken in den vor 2000 Jahren hängen geblieben.
baggacfreak ist offline Threadstarter   Mit Zitat antworten
Alt 04.02.2015, 11:08:00   #38 (permalink)
Primus inter pares
Benutzerbild von DaPhreak

ID: 30143
Lose-Remote

DaPhreak eine Nachricht über ICQ schicken
Reg: 08.05.2006
Beiträge: 2.261
Standard

Zitat:
Zitat von baggacfreak Beitrag anzeigen
Also diese Aussage zeigt wie wenig Ahnung der Verfasser hat! 10 stellige Hex Zahlen (Hash?) sind ja wohl nicht sicher
Ich habe nicht gesagt, dass sie sicher sind, nur sicherer als das typische User-Passwort àla test1234. Bei einer 10-stelligen Hex sprechen wir von 1.1bio Möglichkeiten. Zugegeben, das ist nicht viel, die könnte man durchprobieren. Ich frage mich da nur ob man nicht das Passwort schneller gebruteforced hat.

Generell würde ich hier unterscheiden zwischen der konkreten Umsetzung (10 Zeichen sind vielleicht wirklich ein bisschen wenig) und der allgemeinen Technik (die für mich immer noch genauso (un)sicher ist wie eine Passwort-Abfrage).


Da ich vielleicht missverstanden werde nochmal anders formuliert: wenn wir auf Webseiten Passwort-Abfragen sehen werden wir gerne dazu verleitet, dass das sicher wäre. Was ich sagen will ist, dass das häufig Augenwischerei ist und am Ende in vielen Fällen genauso unsicher wie so eine einfache Technik wie sie hier Verwendung findet. Wer sichere Übertragung will muss sich um Ende-zu-Ende-Verschlüsselung kümmern. Und wer ganz sicher gehen will sollte vertrauliche Informationen einfach nirgends ins Netz hochladen.
"There is nothing noble in being superior to your fellow man. True nobility is being superior to your former self." - Ernest Hemingway
DaPhreak ist offline   Mit Zitat antworten
Alt 04.02.2015, 11:53:36   #39 (permalink)
jiw VERIFIZIERTER User
Erfahrener Benutzer
Benutzerbild von jiw

ID: 33571
Lose-Remote

Reg: 20.04.2006
Beiträge: 2.628
Standard

Zitat:
Zitat von DaPhreak Beitrag anzeigen
<10stellige-Hex-Zahl> ist unbekannt und spielt somit hier die Rolle des Passworts.
DaPhreak, das ist Schwachsinn einen automatisch generierten Dateinamen auf die Stufe eines Passworts zu erheben.
Bleibst du weiter bei diesem Argument, spreche ich Dir jegliche Kompetenz zu diesem Thema ab.

Zitat:
Zitat von DaPhreak Beitrag anzeigen
Dürfte sicherer sein als die Passwörter die manche Nutzer sich so ausdenken.
Jedes Passwort ist sicherer, als keines für eine Datei die ansonsten keinen Zugriffshutz hat und deren Namen sich durch Bruteforce erraten läßt. (Welche Latenzen / Bandbreiten / und Systeme werden heutzutage eingesetzt? klingels?)

Zitat:
Zitat von DaPhreak Beitrag anzeigen
Steht natürlich beim Aufruf im Klartext im HTTP-Get-Request. Ja und? Das würde für ein per Formular übertragenes Passwort nicht anders sein.
Klar... spätestens bei einer HTTPS-verschlüsselten Übertragung ist hier aber Schluss.
Setzen 6.
Zitat:
Zitat von DaPhreak Beitrag anzeigen
Sicher tut er das. Er sieht dabei aber nur die Seiten die öffentlich zugängig sind.
schon wieder eine Halb-Wahrheit.
Der GoogleBot fragt höfflich ab, welche URLs er denn scannen darf, dafür nimmt er die Angaben aus der robots.txt.
Er kann sich daran halten, muss es (und andere Bots) aber nicht.
Hausaufgaben nicht gemacht.
Setzen. 6
Zitat:
Zitat von DaPhreak Beitrag anzeigen
Solange $user nicht den Link (also die 10-stellige Hex-Zahl) im Forum oder sonstwo postet wird GoogleBot diesen Link nicht sehen und damit auch nicht indizieren.
wieder Halb-Wahrheit.
Ein Beispiel: Google Mail indiziert alle Mails, die über seinen Dienst laufen, gelangt eine Mail in die Reichweite von Google Mail, direkt durch $user oder indirekt durch Weiterleitung, dann hat Google die Möglichkeit die URL zu indizieren, ohne das Sie öffentlich gemacht wurde.
Nur ein Szenario... ich sehe Du beschäftigst Dich intensiv mit dem Thema, aber ...
Zitat:
Zitat von DaPhreak Beitrag anzeigen
Und ob. Vorausgesetzt die Abfrage ist richtig implementiert. Ihr Zweck ist Authentifizierung, ein Bot ist ganz klar nicht authentifiziert - wenn er die Abfrage nicht sehen würde hätte sie ihren Zweck verfehlt.
...hast Du denn mal ausprobiert, worum es hier geht? Nein? Dann hättest Du herausgefunden das eine Abfrage bei Kenntnis der URL nicht auftaucht. Gilt auch für Bots.
Natürlich kann ich für Bots eine Abfrage generieren. Ich kann sie aber auch zulassen trotz Abfrage auf PW, wenn $Browser zugreift. Nur muss ich das aktiv einrichten.

Zitat:
Zitat von DaPhreak Beitrag anzeigen
[...]Ich halte übrigens eine robots.txt für das so ziemlich unsicherste Mittel, da sie nur eine Empfehlung darstellt.
Da hat du dir ja doch noch die Einleitung zur robots.txt durchgelesen.
Ja die robots.txt ist nur eine Empfehlung, in Zusammenhang mit einer oder mehreren .htacces -Dateien / -Regeln
kann man daraus aber schon einen guten Zugriffsschutz aufbauen.

Zitat:
Zitat von DaPhreak Beitrag anzeigen
Seit wann wertet Google denn Proxy-Logs aus das wäre mir neu...
Wo steht es, das sie es nicht tun? Nutze ich solche Dienste, hab ich bei Klartext-Übertragung bzw. -Aushandlung immer das Problem, das jemand mitlesen kann. Im Beschreibungstext zur Daten-Reduzierung in meiner JB-Android-Version wird auf das Risiko nicht hingewiesen.

Zitat:
Zitat von DaPhreak Beitrag anzeigen
Ich glaube auch, dass das schon aufgefallen wäre - denn viele Seiten nutzen die Technik (z.B. auch Facebook), dann müssten sich ja längst alle geschützten Bilder im Google Index befinden? Wenn da was dran wäre, müsste es dazu einen Artikel bei heise geben. Ich schaue mal ob ich was finde.
Muss es nicht, allerdings haben beide den Passus drin, das sie Daten auswerten durfen zu Verbesserung ihrer Dienste, gerade FB zeigt seit diesem Monat ja was das bedeutet und wie sie es bewerkstelligen wollen.

Wenn Du gerade auf Heise bist, lese Dir doch den Artikel bei Heise Security durch zum Thema "Wie sichere ich meine Dateien auf meinem Webserver richtig" duch, ja?

Zitat:
Zitat von DaPhreak Beitrag anzeigen
Natürlich muss klar sein, dass im Grunde jeder Proxy die URLs abfangen kann. Das gilt aber auch für über HTTP gesendete Passwörter. Für richtige Sicherheit hilft nur Ende-zu-Ende-Verschlüsselung, alles andere ist am Ende nicht mehr und nicht weniger sicher als das System was wir hier haben...
Wow.. Am Ende die Erkenntnis und ein Griff in die Phrasenkiste...

Fassen wir zusammen:
  1. Der Passwort-"Schutz" bezieht sich nur auf den Zugriff über klamm.de der Foto-Alben eines Users
  2. Enthaltene Dateien sind ungeschützt.
  3. Der Aufbau des Pfades ist bekannt durch den Blick auf die URL freigegebener Bilder.
  4. Der Dateiname ist automatisch generiert, kann aber durch Bruteforce herrausgeunden werden.
  5. Eine Blockade von Scripten / Bots / unauthorisiertem Zugriff findet nicht statt.

Fazit: Sicherheit? Nur vorgetäuscht.
I'm back...
Zitat:
Zitat von jiw
"..wer auf Lose als Finanzierungs-Grundlage für seine Projekte setzt, hüpft auch in einem Kaktus-Feld auf nem Luftballon und hält das für eine sichere Fortbewegungs-Möglichkeit.
jiw ist offline   Mit Zitat antworten
Alt 04.02.2015, 15:09:52   #40 (permalink)
Primus inter pares
Benutzerbild von DaPhreak

ID: 30143
Lose-Remote

DaPhreak eine Nachricht über ICQ schicken
Reg: 08.05.2006
Beiträge: 2.261
Standard

jiw, scheinbar willst Du mich bewusst falsch verstehen. Ich habe nie behauptet, dass das System sicher ist. In dem Punkt sind wir uns im Grunde längst einig. Ich behaupte nur es wird nicht sicherer dadurch, dass ich da noch irgendwo eine Passwort-Abfrage einbaue. Das ist vorgegaukelte Sicherheit.

Insbesondere wenn Du den Nutzern die Wahl des Passworts selbst überlässt. Du wärst erschrocken darüber wie viele entweder test oder 1234 wählen. Da kannst Du hundert mal dagegen wettern, das ändert nichts daran, dass die Entropie eines zufällig generierten Hashs höher ist. 10 Zeichen mag nicht genug sein, 30 wären es sicher. Deshalb mahnte ich an, die konkrete Implementierung hier von dem grundsätzlichen System zu unterscheiden, was Du geflissentlich überlesen hast.


Zitat:
Zitat von jiw Beitrag anzeigen
Jedes Passwort ist sicherer, als keines für eine Datei die ansonsten keinen Zugriffshutz hat und deren Namen sich durch Bruteforce erraten läßt. (Welche Latenzen / Bandbreiten / und Systeme werden heutzutage eingesetzt? klingels?)
Wenn ich bruteforcen will, wieso bruteforce ich dann nicht das Passwort? Wieviel einfacher ist es, ein user-erdachtes Passwort zu erraten als einen 30stelligen zufällig generierten Hash? Hast Du Dir mal die Entropie ausgerechnet und dabei bedacht, dass bei Hashs alle Ziffern gleichverteilt sind? Man braucht also im Schnitt 2e23 Anfragen. Nutze ich die Bandbreite um das Passwort zu bruteforcen bin ich doch viel schneller fertig. Auf das Argument bist Du nicht eingegangen, das willst Du scheinbar nicht hören.

Natürlich kann ich da einen Zugriffsschutz implementieren (nach x Anfragen wird geblockt) aber das ist wieder das gleiche mit dem Dateizugriff, da kann ich doch genau das selbe tun.

Zitat:
Zitat von jiw Beitrag anzeigen
Klar... spätestens bei einer HTTPS-verschlüsselten Übertragung ist hier aber Schluss.
Setzen 6.
Deshalb schrieb ich http und nicht https.

Zitat:
Zitat von jiw Beitrag anzeigen
schon wieder eine Halb-Wahrheit.
Der GoogleBot fragt höfflich ab, welche URLs er denn scannen darf, dafür nimmt er die Angaben aus der robots.txt.
Er kann sich daran halten, muss es (und andere Bots) aber nicht.
Hausaufgaben nicht gemacht.
Setzen. 6
Hm, scheinbar hast Du nicht verstanden wie Crawling funktioniert. Der Googlebot crawlt die Index-Seite und verfolgt dort alle vorhanden Links. Er kann also nur URLs in den Index aufnehmen die auf irgendeiner Seite direkt, explizit auftauchen. Er kann nicht einfach ein Listing auf einem Verzeichnis machen und alle dort liegenden URLs abfragen. Aus mehreren Gründen: (1) das Verzeichnis könnte gar nicht existent sein sondern virtuell umgemappt werden z.B. in GET-Parameter (mod_rewrite); (2) selbst wenn sollte der Apache so konfiguriert sein, dass er ein Listing verbietet (also mit einem 403 antwortet).

Fazit: wenn ich den URL nirgends poste wird Google auch nicht dran kommen. Dass google angeblich auch Links aus Proxy-Logs und Googlemails extrahiert und in den Index aufnimmt glaube ich sofort wenn Du mir Dein Insiderwissen irgendwie glaubhaft belegst. Bis dahin bleibt es eine Behauptung.


Darum geht es aber gar nicht: Wenn mir die Information wichtig ist, dann sollte ich sie genauso wenig in eine unverschlüsselte Mail schreiben (die über alle möglichen Knoten geleitet wird wo sie jeder mitlesen könnte) wie sie irgendwo öffentlich posten. Da muss ich mir schon einen sicheren Kommunikationskanal suchen (und sicher heißt nun mal Ende-zu-Ende).

Noch anders gesagt: will ich das Bild jemandem zeigen muss ich ihm den URL und das Passwort sagen. Wähle ich dafür einen unverschlüsselten Kanal bringt das alles gar nichts, dann kann ich das Passwort auch gleich weglassen. Wenn muss die geheime Information über einen sicheren Kanal. Wobei es dann wieder egal ist ob der geheime Teil die URL oder das Passwort ist.


Zitat:
Zitat von jiw Beitrag anzeigen
...hast Du denn mal ausprobiert, worum es hier geht? Nein? Dann hättest Du herausgefunden das eine Abfrage bei Kenntnis der URL nicht auftaucht. Gilt auch für Bots.
Natürlich kann ich für Bots eine Abfrage generieren. Ich kann sie aber auch zulassen trotz Abfrage auf PW, wenn $Browser zugreift. Nur muss ich das aktiv einrichten.
Habe ich behauptet, dass auf klamm eine solche Abfrage existiert? Nein. Warum unterstellst Du mir das dann? Keine Ahnung. Eigenartige Diskussionsmethodik. Ich habe lediglich gesagt, welche Funktion eine solche Abfrage in meinen Augen erfüllen sollte wenn man sie einrichten würde und dass es dann selbstverständlich wäre, dass sie auch auf Bots zutrifft (da Du behauptetest, dass Bots eine solche Abfrage nicht sehen würden).


Zitat:
Zitat von jiw Beitrag anzeigen
Da hat du dir ja doch noch die Einleitung zur robots.txt durchgelesen.
Ja die robots.txt ist nur eine Empfehlung, in Zusammenhang mit einer oder mehreren .htacces -Dateien / -Regeln
kann man daraus aber schon einen guten Zugriffsschutz aufbauen.
Aha, na wenn Du meinst.

Lass Dir von jemand mit Erfahrung sagen: robots.txt hat nichts aber auch gar nichts mit Zugriffsschutz zu tun. Die hat einen ganz anderen Sinn. Am besten Du liest die RFC noch mal komplett.

Bei htaccess bist Du schon näher dran.

Zitat:
Zitat von jiw Beitrag anzeigen
Wo steht es, das sie es nicht tun? Nutze ich solche Dienste, hab ich bei Klartext-Übertragung bzw. -Aushandlung immer das Problem, das jemand mitlesen kann. Im Beschreibungstext zur Daten-Reduzierung in meiner JB-Android-Version wird auf das Risiko nicht hingewiesen.
Genau, mitlesen ist das richtige Stichwort. Mitlesen gilt für die URLs genauso wie für den Content. Steht da das Passwort hast Du genau gar nichts erreicht.

Zitat:
Zitat von jiw Beitrag anzeigen
Muss es nicht, allerdings haben beide den Passus drin, das sie Daten auswerten durfen zu Verbesserung ihrer Dienste, gerade FB zeigt seit diesem Monat ja was das bedeutet und wie sie es bewerkstelligen wollen.
Hoch leben die Äpfel-mit-Birnen-Vergleiche. Was die Auswertung der Nutzerdaten für Werbezwecke jetzt mit der vorliegenden Fragestellung zu tun haben soll erschließt sich mir jedenfalls nicht.

Letztlich ist es wie oben: geheime Information bei Facebook zu verschicken ist ein genauso unsicherer Kommunikationskanal wie es in eine unverschlüsselte E-Mail zu schreiben. Wer das tut riskiert, dass die Information publik wird.

Zitat:
Zitat von jiw Beitrag anzeigen
Wenn Du gerade auf Heise bist, lese Dir doch den Artikel bei Heise Security durch zum Thema "Wie sichere ich meine Dateien auf meinem Webserver richtig" duch, ja?
Ich werte das mal als Diskreditierungsversuch mit dem Du mir zu unterstellen versuchst, dass ich die Hashs für sicher halte - obgleich ich das nie behauptet habe sondern von Anfang an von Ende-zu-Ende-Verschlüsselung sprach. Siehe erster Absatz in diesem Post.

Alle weiteren persönlichen Angriffe lasse ich unkommentiert, ich denke die sprechen für sich.


Zitat:
Zitat von jiw Beitrag anzeigen
Fassen wir zusammen:

[...]

Fazit: Sicherheit? Nur vorgetäuscht.
Nur fürs Protokoll: In keinem dieser Punkte habe ich je widersprochen.
"There is nothing noble in being superior to your fellow man. True nobility is being superior to your former self." - Ernest Hemingway
DaPhreak ist offline   Mit Zitat antworten
Alt 04.02.2015, 16:03:18   #41 (permalink)
kalt draußen,oder?
Benutzerbild von kbot

ID: 50740
Lose-Remote
Reallife

Reg: 20.04.2006
Beiträge: 4.048
Standard

Zitat:
Zitat von jiw Beitrag anzeigen
Und ob Google nun diesen Bereich automatisch scannen oder erst durch Aufruf einer Datei aus diesem Bereich, geht auch am Thema vorbei.

Wieso darf Google einen geschützten Bereich ohne vorherige Authentifizierung (Passwort) überhaupt zugreifen?
und nochmal:
zeige mir bitte, wie man geschützte Bilder in der Google-Suche findet (und probier es vorher aus, bevor du den Weg hier postest...)

der Threadersteller hat ja sein Bild gern zum Testen zur Verfügung gestellt ... (nach 4 Tagen ist es bis jetzt immer noch nicht im Index zu finden ...)
Zitat:
Zitat von Columbus Beitrag anzeigen
Ich gehe mal mit Mone kondom, solche Interna gehen keine User etwas an, ...
kbot ist offline   Mit Zitat antworten
Alt 04.02.2015, 16:36:25   #42 (permalink)
jiw VERIFIZIERTER User
Erfahrener Benutzer
Benutzerbild von jiw

ID: 33571
Lose-Remote

Reg: 20.04.2006
Beiträge: 2.628
Standard

Zitat:
Zitat von kbot Beitrag anzeigen
und nochmal:
zeige mir bitte, wie man geschützte Bilder in der Google-Suche findet (und probier es vorher aus, bevor du den Weg hier postest...)
...
Noch einmal, damit es auch du verstehst:

Wenn ich einen geschützten Bereich habe, mit Passwort gesichert, hat niemand auf den Inhalt durch eine direkte URL, zu zugreifen (oder die Möglichkeit dazu), wenn er sich nicht mit dem korrekten Passwort authentifiziert.

Das kennt nicht Google, das kennt nicht Mr. X mit der brute-force-Methode auf den Dateinamen, das kennt auch nicht meine Schwester mehr nachdem ich das Passwort gewechselt habe, damit sie nicht mehr zugreifen kann.

Trozdem können all diese Personen und Dienste Dateien aus diesem Bereich aufrufen, wenn sie den Dateinamen erraten, den Pfad bekommen haben, oder ihn mit anderen Methoden ermitteln.

--> Weil der angebliche "Zugriffs-Schutz" unwirksam ist.

Danke und melde Dich bitte erst wieder, wenn Du mir zeigen kannst, das ich trotz Erraten / Brute-force / Wissen der direkten URL, durch ein von dir gesetztes PW auf dem enthaltenen Ordner nicht auf die enthaltene Datei zugreifen kann.

Ansonsten ist die weitere Diskussion sinnlos und ich mag keine grauen Haare.


PS: hier ein Beispiel-Code, den ich schnell runtergeschrieben habe, um zu verdeutlichen wie einfach es ist
auf enthaltene Dateien zuzugreifen, ohne irgendwelche Passwort-abfragen. Wenn du ein bischen von PHP
verstehst erkennst Du was dieser 7-Zeiler macht, den Sinn von checkthis($testurl); brauch ich dir hoffentlich nicht zu erklären.. Und meine PHP-Kenntnisse sind eher auf Anfänger-Niveau.

Code:
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
$klammurl = "http://img4.klamm.de/gallery/picz/"; $gen_folder = "30000/"; $kuid = "12345/"; $ext_array = array("jpg","jpeg","gif","png"); $dec_min = 0; $dec_max = hexdec(ffffffffff); foreach ($ext_array as $i => $value ) { for ($ih=$dec_min ; $ih <= $dec_max; $ih++) { $y = str_pad(dechex($ih), 10, 0, STR_PAD_LEFT); $testurl = "" . $klammurl . $gen_folder . $kuid . $y . "_big." . $ext_array[$i]; echo "<a href='" . $testurl . "'>" . $testurl . "</a>"; // checkthis($testurl); } }
I'm back...
Zitat:
Zitat von jiw
"..wer auf Lose als Finanzierungs-Grundlage für seine Projekte setzt, hüpft auch in einem Kaktus-Feld auf nem Luftballon und hält das für eine sichere Fortbewegungs-Möglichkeit.

Geändert von jiw (04.02.2015 um 16:57:47 Uhr)
jiw ist offline   Mit Zitat antworten
Alt 04.02.2015, 17:25:03   #43 (permalink)
Moderator
Benutzerbild von Arusiek

ID: 36574
Lose-Remote

Reg: 05.05.2006
Beiträge: 6.383
Standard

Zitat:
Zitat von kbot Beitrag anzeigen
und nochmal:
zeige mir bitte, wie man geschützte Bilder in der Google-Suche findet (und probier es vorher aus, bevor du den Weg hier postest...)
Meine hat er ja auch noch nicht gepostet...

Zitat:
Zitat von jiw Beitrag anzeigen
Wenn ich einen geschützten Bereich habe, mit Passwort gesichert, hat niemand auf den Inhalt durch eine direkte URL, zu zugreifen (oder die Möglichkeit dazu), wenn er sich nicht mit dem korrekten Passwort authentifiziert.
Wer sagt das denn?

U.u. ist das sogar WAI. Der Ordner ist mit einem Passwort geschützt und ohne nicht einzusehen.
Das die Bilder selbst geschützt, verschlüsselt oder sonstwas sind, steht nirgendwo... Davon gehst du im Prinzip nur aus.

Und nochmal... Die Bilder sind praktisch nicht gezielt auffindbar, ohne das du jemandem die URL gibst oder den Link veröffentlichst. Dafür bist du aber letztendlich selbst verantwortlich.

Wenn ich meinen Locher verleihe und nicht wieder bekomme, ist es egal wie gut das Schloss an meiner Schreibtischschublade ist

Gruß Aru
You're wondering now, what to do, now you know this is the end
You're wondering how, you will pay, for the way you misbehaved
Curtain has fallen, now you're on your own
I won't return, forever you will wait

Arusiek ist offline   Mit Zitat antworten
Alt 04.02.2015, 20:03:49   #44 (permalink)
ohne Vertrauen
Benutzerbild von Bububoomt

ID: 10361
Lose-Remote
Krank

Bububoomt eine Nachricht über ICQ schicken
Reg: 29.04.2006
Beiträge: 19.267
Standard

Zitat:
Zitat von kbot Beitrag anzeigen

der Threadersteller hat ja sein Bild gern zum Testen zur Verfügung gestellt ... (nach 4 Tagen ist es bis jetzt immer noch nicht im Index zu finden ...)
nicht?? also google findet den Thread zumindest zum Bild, also wurde das Bild indexiert und bei google gespeichert!
Angehängte Grafiken
Dateityp: jpg google.JPG (37,9 KB, 16x aufgerufen)
DelphiKing und baggacfreak gefällt das.
Bububoomt ist offline   Mit Zitat antworten
Alt 04.02.2015, 20:08:51   #45 (permalink)
ohne Vertrauen
Benutzerbild von Bububoomt

ID: 10361
Lose-Remote
Krank

Bububoomt eine Nachricht über ICQ schicken
Reg: 29.04.2006
Beiträge: 19.267
Standard

Zitat:
Zitat von jiw Beitrag anzeigen
verstehst erkennst Du was dieser 7-Zeiler macht, den Sinn von checkthis($testurl); brauch ich dir hoffentlich nicht zu erklären.. Und meine PHP-Kenntnisse sind eher auf Anfänger-Niveau.
[/CODE]
Du brachst nicht mal die url Checken, lass einfach google das für dich machen! Schon deine Ressourcen
Bububoomt ist offline   Mit Zitat antworten
Antwort

Gesponsorte Links

Anzeige


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind an
Pingbacks sind an
Refbacks sind an


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Markenrechtlich geschützte Namen SuNr1s3 Marketing 2 04.02.2011 12:28:31
Geschützte Symbole und Figuren in Slotmaschinen? AnderZon Lose-Talk 3 27.11.2009 15:07:53
Confixx geschützte Grafik... MisterS Bug-Report 6 26.11.2007 18:21:09


Alle Zeitangaben in WEZ +2. Es ist jetzt 08:13:47 Uhr.