Zurück   klamm-Forum > klamm.de > klamm talk > Bug-Report

Like Tree27Likes

Antwort
 
LinkBack Themen-Optionen Ansicht
Alt 04.02.2015, 19:16:22   #46 (permalink)
warm draußen,oder?
Benutzerbild von kbot

ID: 50740
Lose-Remote
Reallife

Reg: 20.04.2006
Beiträge: 4.130
Standard

Zitat:
Zitat von Bububoomt Beitrag anzeigen
nicht?? also google findet den Thread zumindest zum Bild, also wurde das Bild indexiert und bei google gespeichert!
sicher dieser Thread hier ist ja auch öffentlich, aber das Bild aus dem Album ist immer noch nicht indexiert
Anhang 7051
 
kbot ist offline   Mit Zitat antworten
Alt 04.02.2015, 19:56:30   #47 (permalink)
ohne Vertrauen
Benutzerbild von Bububoomt

ID: 10361
Lose-Remote
Krank

Bububoomt eine Nachricht über ICQ schicken
Reg: 28.04.2006
Beiträge: 19.532
Standard

Doch, im suchindex für Bilder, dort findest du das Bild.

Und das sogar ohne die komplette url zu nutzen!

Edit
Wie lege ich überhaupt passwortgeschützte alben an!?!?
Bububoomt ist offline   Mit Zitat antworten
Alt 04.02.2015, 20:02:55   #48 (permalink)
warm draußen,oder?
Benutzerbild von kbot

ID: 50740
Lose-Remote
Reallife

Reg: 20.04.2006
Beiträge: 4.130
Standard

Zitat:
Zitat von Bububoomt Beitrag anzeigen
Doch, im suchindex für Bilder, dort findest du das Bild.

Und das sogar ohne die komplette url zu nutzen!
also ich finde nur das Bild aus diesem Thread, ich finde nirgends bei Google das Bild aus dem Album, so wie auch du nur das Bild aus diesem Thread findest

Album einrichten?
Mein Konto > Nickpage > Fotos > Album einrichten

ganz normal
Zitat:
Zitat von Columbus Beitrag anzeigen
Ich gehe mal mit Mone kondom, solche Interna gehen keine User etwas an, ...
kbot ist offline   Mit Zitat antworten
Alt 04.02.2015, 22:54:22   #49 (permalink)
jiw VERIFIZIERTER User
Konto blockiert

ID: 33571
Lose-Remote

Reg: 20.04.2006
Beiträge: 2.643
Standard

Zitat:
Zitat von Arusiek Beitrag anzeigen
Meine hat er ja auch noch nicht gepostet...
soll ich jetzt wirklich die Dateien rausfinden durch Brute-Force?
Du sagst mir also als Moderator des Forenbereichs, das ich nur zu deinem Vergnügen,
eine Live-Seite attackieren soll und deren (Bilder-) Server evtl. empfindlich stören.
Ja den Service empfindlich stören kann?

Nur für dein persönliches Vergnügen? Für eine Offenlegung einer Tatsache, die Du selber, mit weit weniger Aufwand nachprüfen kannst? Lukas wird sich bedanken. Tut mir leid, aber mit dieser Aussage hast Du dich als verantwortungsvoller Moderator disqualifiziert.

Zitat:
Zitat von Arusiek Beitrag anzeigen
U.u. ist das sogar WAI. Der Ordner ist mit einem Passwort geschützt und ohne nicht einzusehen.
1. Der "Ordner" selber ist nur über die Webseite geschützt.
2. Welchen Unterschied macht es, ob ich den Inhalt des Ordners sehen kann, oder durch einfachste Mittel prüefen kann ob eine enthaltene Datei existiert und das beliebig lange. - Der einzige Unterschied ist der Zeitfaktor und die benötigte Leistung / Bandbreite.

Zitat:
Zitat von Arusiek Beitrag anzeigen
Die Bilder sind praktisch nicht gezielt auffindbar, ohne ....
Bla Blaa Bla... Wenn ich weder durch einen PW-Schutz, noch durch die Anzahl meiner zugriffsversuche, gehindert werde, dann kann ich das solange durchführen bis ich die korrekten Dateinamen ermittelt habe.
Und was ist das für eine Aussage.. "praktisch nicht gezielt auffindbar" so was wie vielleicht doch sicher sauber?
Entweder es ist gezielt auffindbar oder nicht. Dein Satz ist einfach nur Geblubber und zeigt nur deine Unkenntnis.


Ansonsten siehe oben.

Du hörst dich an wie Norbert "Die-rente-ist-sicher" Blüm an, der hat auch stets die gleichen schon längst widerlegten Argumente gebracht. Selbst als ihm die Leute ihre Renten-Bescheide zeigten.
Tut mir leid, aber auch dadurch hast Du dich disqualifiziert, in dem versuchst es ins Lächerliche zu ziehen.

Gruß Aru[/QUOTE]
 

Geändert von jiw (04.02.2015 um 23:31:55 Uhr)
jiw ist offline   Mit Zitat antworten
Alt 04.02.2015, 23:20:08   #50 (permalink)
jiw VERIFIZIERTER User
Konto blockiert

ID: 33571
Lose-Remote

Reg: 20.04.2006
Beiträge: 2.643
Standard

Zitat:
Zitat von Bububoomt Beitrag anzeigen
Du brachst nicht mal die url Checken, lass einfach google das für dich machen! Schon deine Ressourcen
Na, das mache ich um herauszufinden, ob eine Datei mit dem Namen existiert,
gibt mir der Server ein "404" mach ich halt weiter, solange bis ich meinen Max-wert erreicht habe.

Ansonsten wird die URL fein säuberlich als Link aufgeführt.

Die Ausgabe in der for-Schleife ist dann natürlich deaktiviert.. Wer interessiert sich schon für Dateien, die nicht existieren.
Mich erschreckt einfach die Larifari-Mentalität von Arusiek, der nur noch hilflos seine bereits widerlegten Argumente vorbringt, Nebelkerzen zündet, ja mich sogar implizit zu einem DDOS auffordert, weil er nicht in der Lage oder Willens ist den Schutz tatsächlich zu testen.

Das Moderatoren das können erwarte ich gar nicht erst, die haben andere Aufgaben.
Bei Administratoren schon, den deren Möglichkeiten sind weitaus größer.

Der Schutz aktuell besteht nur aus dem generierten Dateinamen, mehr nicht.
Das Passwort ist nur ein Plazebo. Sieht gut aus, schmeckt gut, hat aber Null Wirkung.
Schlimmer, es tauscht eine Sicherheit vor, die gar nicht vorhanden ist.

Was mich wundert, ist das Lukas hier nicht einfach mal ehrlich die Implementation und Reichweite seines Schutzes offenlegt.

Momentan hindert mich der aktuelle Schutz nicht, sämtliche Fotoalben aller User zu durchsuchen und die Fotos herunterzuladen. Dafür brauche ich kein Bing / Google oder die exakte URL sondern, sofern die Bilder in einem / wenigen physischen Verzeichnissen liegen, nur Zeit und Geduld.
 
jiw ist offline   Mit Zitat antworten
Alt 05.02.2015, 01:20:37   #51 (permalink)
ohne Vertrauen
Benutzerbild von Bububoomt

ID: 10361
Lose-Remote
Krank

Bububoomt eine Nachricht über ICQ schicken
Reg: 28.04.2006
Beiträge: 19.532
Standard

Ja ich weiß das du da auf 404 prüfst bzw. Ob halt ne datei existiert...
Aber dafür verbrauchat dann ja deine resourcen...

Wollte sagen, das kannst auch google überlassen. Machst nur eine Seite mit den links fertig und siehst zu das google diese Seite findet und den Links folgt...
Bububoomt ist offline   Mit Zitat antworten
Alt 05.02.2015, 03:11:53   #52 (permalink)
jiw VERIFIZIERTER User
Konto blockiert

ID: 33571
Lose-Remote

Reg: 20.04.2006
Beiträge: 2.643
Standard

Zitat:
Zitat von Bububoomt Beitrag anzeigen
Ja ich weiß das du da auf 404 prüfst bzw. Ob halt ne datei existiert...
Aber dafür verbrauchat dann ja deine resourcen...

Wollte sagen, das kannst auch google überlassen. Machst nur eine Seite mit den links fertig und siehst zu das google diese Seite findet und den Links folgt...
Schön mit "index, follow" :-P Nette Idee, ich fürchte aberbei einer Seite mit potentiell 107374182 hoch 4 Links fliegt meine Seite schneller aus dem Index als mir lieb ist. Hi hi

Dann lass ich doch lieber ein Php-Script laufen, das mit genügend zeitlicher Varianz die URLs abprüft.
Schön sudsche, dann gehen die Aufrufe im Grundrauschen unter,... noch einen angepassten http-client String dazu und dann passt das.

Als Jemand der Interesse hätte, was ein Klamm User in seinem nicht zugänglichen Bereich hat, durchaus attraktiv und mit wenig Aufwand durchführbar.

Für Spanner gerade bei den nicht aktiven, weiblichen Usern... Pädophile stehen ja mehr auf die Kinder ab 14... Will sagen, ist die kriminelle Energie vorhanden, dann ist es ein leichtes den Pfad zu möglichen Bildern herauszufinden...

Aber für kbot scheint das Internet nur aus Google zu bestehen (was Google nicht anzeigt, existiert nicht)
und Arusiek klammert sich an sein Script aus der Phrasen-Dreschmaschine.

Da er Schutz der Dateien offensichtlich nicht vorhanden ist, erwarte ich eigentlich das die Lücke geschlossen wird und die User (alle!) informiert werden (Zumindest letzteres!).

Eine Unterstützung seitens der hier schreibenden Mods sehe ich allerdings nicht, ehe das Gegenteil.
 
jiw ist offline   Mit Zitat antworten
Alt 05.02.2015, 05:38:54   #53 (permalink)
jiw VERIFIZIERTER User
Konto blockiert

ID: 33571
Lose-Remote

Reg: 20.04.2006
Beiträge: 2.643
Standard

Zitat:
Zitat von DaPhreak Beitrag anzeigen
jiw, scheinbar willst Du mich bewusst falsch verstehen. Ich habe nie behauptet, dass das System sicher ist. In dem Punkt sind wir uns im Grunde längst einig. Ich behaupte nur es wird nicht sicherer dadurch, dass ich da noch irgendwo eine Passwort-Abfrage einbaue. Das ist vorgegaukelte Sicherheit.
Nein ich will dich nicht bewusst falsch verstehen, allerdings drückst Du Dich unpräzise aus, was, gerade bei Sicherheits-relevanten Themen unschön, wenn nicht sogar trügerisch ist.
Gerne möchte ich naturlich weiterhin Dich einbeziehen, also keine keine Ignoranz deiner Person.

1. Jede zusätzliche Authentifizierung ist mehr Sicherheit, da sie die Erlangung des eigentlichen Ziels (hier das herausfinden, ob eine Datei unter einer errechneten/ bekannten URL erreichbar ist, erschwert und damit verzögert.

Denn: Ich muss erst herausfinden, wie das Passwort lautet und kann dann erst mit Test-URL's prüfen, ob ich dadurch Daten geliefert bekomme. ( Bild vorhanden )

2. Vorgegaukelte Sicherheit ist es aktuell, da ich zwar den Zugriff auf das virtuelle Foto-Album durch ein automatisch erstelltes Passwort verhindern kann, nicht aber den eigentlichen Zugriff auf die Bild-Dateien per URL, da das Passwort nur die Anzeige der Datei innerhalb der Album-Webseite verhindert, nicht aber den Abruf der eigentlichen Bild-Datei.

Der Klamm-User wird also durch Beschreibungstext in die Irre geführt, das Dateien, die in dem geschützten Album angezeigt werden, durch einen direkten Zugriff geschützt sind. Das ist nicht der Fall.

Das ist vorgegaukelte Sicherheit par excellence.

Zitat:
Zitat von DaPhreak Beitrag anzeigen
Insbesondere wenn Du den Nutzern die Wahl des Passworts selbst überlässt.
Ist hier nicht der Fall, das Passwort wird automatisch generiert

Zitat:
Zitat von DaPhreak Beitrag anzeigen
[...]das ändert nichts daran, dass die Entropie eines zufällig generierten Hashs höher ist. 10 Zeichen mag nicht genug sein, 30 wären es sicher.
Ohne jetzt den genauen Hintergrund für die Wahl von nur zehn Stellen zu wissen, gehe ich allerdings davon aus,
das nicht der Schutz der Datei im Vordergrund stand, sondern verhindert werden soll, das eine bereits existierende Datei nicht durch eine andere, neu hochgeladene, Datei überschrieben werden soll.

Zitat:
Zitat von DaPhreak Beitrag anzeigen
Wenn ich bruteforcen will, wieso bruteforce ich dann nicht das Passwort?
Geht an der aktuellen Situation vorbei, ich brauche mich gar nicht erst mit dem Passwort zu beschäftigen.

Zitat:
Zitat von DaPhreak Beitrag anzeigen
Wieviel einfacher ist es, ein user-erdachtes Passwort[...]?
Das Passwort wird aktuell automatisch generiert. Grundsätzlich ist der Aufwand, ein vom User erdachtes Paswort zu herrauszufinden, abhängig von der Komplexität / Länge/ und Zeichenraum der verwendbaren Zeichen.

Und bitte, ich weiss es zu schätzen aber da hier keine user-generierten Passwörter im Spiel sind ist es müßig über deren Komplexität zu philosophieren, und der Dateiname ist kein Hash des ursprünglichen Dateinames oder etwaiger Kombinationen, sondern errechnet um Namens-Konflikte zu vermeiden. (Theorie, aber mit hoher Wahrscheinlichkeit)

Wenn ich mich auf einen User konzentriere brauche ich max 8^14 Versuche um den kompletten Namensraum aller möglichen enthaltenen Dateien abzurufen, durch Überlegung und Anwendung bestimmter techniken kann ich diese aber stark einschränken. Und hab damit alle Dateien des Users, offentliche, wie "geschützte".


Zitat:
Zitat von DaPhreak Beitrag anzeigen
Hm, scheinbar hast Du nicht verstanden wie Crawling funktioniert.
Doch, weiss ich.
Ich würde allerdings vorschlagen, das wir die "Google" mal aussen vorlassen. Google Suche (/ Suchmaske) wird hier in verschiedenster Weise als Synonym und in unterschiedlichstem Kontext verwendet,

- für die einen ist es nur eine Suche-Möglichkeit innerhalb des Google-Index /-Universum .
- für andere ist die Google-Suchmaske das Eingabefeld für beliebige Internetadressen,
Diese User kennen das eigentliche URL-Eingabefeld nicht ("..da steht ja immer www.google.de drin"),
Nutzen also die Suchmaske als URL-Eingabefeld, wenn also die "Google-Suche" automatisch die eigentliche Webseite / Bild anzeigt, dann ist für diesen User die Webseite in der Google-Suche.

Das geht aber am Thema vorbei, auch Erklärungen wie der Googlebot arbeitet ebenso.

Das Thema ist, warum Bilder die in einem PW geschützten Album sind, durch eine direkte URL aufrufbar sind ohne jede Abfrage des Album-Passwortes.

Und noch einmal:
Gebe ich jemanden das Passwort zu meinem Album, kann er sich die Dateien anschauen, herunterladen, was auch immer.
Hat derjenige aber sich die eigentliche Bild-URL gemerkt, kann auch ein nachträgliches Ändern des Album PW den direkten Aufruf danach nicht verhindern. Deshalb sind auch jegliche Analogien mit abgeschlossenen Aktenordnern hinfällig, da ich nicht nicht das Schloss knacken brauche, um an den Inhalt zu gelangen.

Habe ich ein geschützes Album, sind die Bilder darin trotzdem nicht sicher vor Zugriff, da ich die entsprechende Bild-URL erraten / errechnen / wahllos ausprobieren kann, ohne irgendein PW ausprobieren zu müssen.

Zitat:
Zitat von DaPhreak Beitrag anzeigen
Fazit: wenn ich den URL nirgends poste wird Google auch nicht dran kommen. Dass google angeblich auch Links aus Proxy-Logs und Googlemails extrahiert und in den Index aufnimmt glaube ich sofort wenn Du mir Dein Insiderwissen irgendwie glaubhaft belegst. Bis dahin bleibt es eine Behauptung.
Sicher, wenn ich die URL nicht Google mitteile, in welcher Form auch immer, hat Google erstmal keine Ahnung davon.

Zum Google-Proxy:
Ist von mir eine Vermutung, allerdings warum sollte Google nicht davon Gebrauch machen, um von URLs zu erfahren, die noch nicht im Google-Index gelistet sind?

Zur Google-Mail:
Schon in den AGB zu GMail wird darauf hingewiesen, das der Inhalt zu Zwecken der Einblendung personalisierter Werbung ausgewertet, indiziert wird. Gerne kannst Du nachfragen, ob auch enthaltene nicht-indizierte URLs dann in den Such-Index aufgenommen werden.

Aber auch hier.. lassen wir bitte Google beiseite, aus oben genannten Gründen.

Zitat:
Zitat von DaPhreak Beitrag anzeigen
Noch anders gesagt: will ich das Bild jemandem zeigen muss ich ihm den URL und das Passwort sagen.
Ungenau. Wenn du jemandem ein Bild zeigen willst, reicht die Bild-Url, da das Passwort nicht abgefragt wird.
Möchtest Du ihm mehrere zeigen, reicht eine Liste der Bild-URLs
Willst du ihm Zugriff auf die Album-Darstellung auf Klamm.de geben, dann brauch er diese URL und das Passwort, richtig.

Nur die Präsentation über die Webseite von klamm.de ist also PW-geschützt. Ein merkwürdiger Schutzmechanismuss.

Zu diskutieren, welche Schutzmechanismen möglicherweise sind, eventuell, warscheinlich, erfolgversprechend wären..


Zitat:
Zitat von DaPhreak Beitrag anzeigen
ass Dir von jemand mit Erfahrung sagen: robots.txt hat nichts aber auch gar nichts mit Zugriffsschutz zu tun. Die hat einen ganz anderen Sinn. Am besten Du liest die RFC noch mal komplett.
Bei htaccess bist Du schon näher dran.
Deshalb schrieb ich auch "die Kombination von htaccess und robots.txt erlaubt schon einen guten-Zugriffshutz"
Das die robots.txt nur "Hier darfst Du zugreifen , aber dort nicht wegen deinem Namen!"-Regeln enthält, die befolgt werden können, aber nicht müssen und für Bots hauptsächlich gilt, ist mir klar.
Erst eine htaccess und eine darin eingerichtete User/Passwort Konfiguration für das Verzeichnis gibt schon einen guten Schutz, für Bots wie für den allgemeinen Zugriff.

Zitat:
Zitat von DaPhreak Beitrag anzeigen
Genau, mitlesen ist das richtige Stichwort. Mitlesen gilt für die URLs genauso wie für den Content. Steht da das Passwort hast Du genau gar nichts erreicht.
... Ausser ich hab mittlerweile das Passwort bereits geändert, das würde sich allerdings nur auf die Album-Ansicht auswirken.

Zitat:
Zitat von DaPhreak Beitrag anzeigen
Hoch leben die Äpfel-mit-Birnen-Vergleiche. Was die Auswertung der Nutzerdaten für Werbezwecke jetzt mit der vorliegenden Fragestellung zu tun haben soll erschließt sich mir jedenfalls nicht.
Nicht wirklich ein Äpfel-Birnen Vergleich, da Tatsache ist, das G-Mail alle Mails indiziert, ergibt sich daraus schon die Möglichkeit, diese Infos weiter zu verwenden als "nur" zu Werbezwecken..


Zitat:
Zitat von DaPhreak Beitrag anzeigen
Letztlich ist es wie oben: geheime Information bei Facebook zu verschicken ist ein genauso unsicherer Kommunikationskanal wie es in eine unverschlüsselte E-Mail zu schreiben. Wer das tut riskiert, dass die Information publik wird.
Grundsätzlich richtig, aber auch wenn ich nur die Bild-URL verschicke und das PW z.B. per Telefon mitteile, in der Annahme das ohne das PW derjenige nicht das Bild aufrufen kann, liege ich in der aktuellen Situation falsch.

Zitat:
Zitat von DaPhreak Beitrag anzeigen
Ich werte das mal als Diskreditierungsversuch mit dem Du mir zu unterstellen versuchst, dass ich die Hashs für sicher halte - obgleich ich das nie behauptet habe sondern von Anfang an von Ende-zu-Ende-Verschlüsselung sprach. Siehe erster Absatz in diesem Post.
Ja, das hast Du behauptet, deine Aussage war:
Zitat:
<10stellige-Hex-Zahl> ist unbekannt und spielt somit hier die Rolle des Passworts.
Da der allgemeine Stand ist, etwas durch ein Passwort abzusichern, impliziert deine Aussage das der Hash zur Sicherung eingeführt wurde, was ich stark bezweifle. Und wenn du Hashes nicht für sicher hälst, kann ein Hash aber auch kein Passwort sein.

Nein, ich greife nicht dich persönlich an, sondern deine Laxheit in deinen gemachten Antworten.
Denn zum Zeitpunkt deiner Antwort hattest du dich noch nicht mit der Foto-Galerie beschäftigt, bzw. vorher nicht noch einmal angeschaut.
Dann wäre Dir z.B. aufgefallen, das das Passwort automatisch generiert wird und somit alles was mit vom User erzeugten Passwörtern zu tun hat, völlig am Thema vorbei ging.

Trotzdem freue ich mich weiterhin auf eine ernsthafte Diskussion zu diesem Thema.

In dem Sinne
M3Y3R gefällt das.
 
jiw ist offline   Mit Zitat antworten
Alt 05.02.2015, 08:47:05   #54 (permalink)
Erfahrener Benutzer

ID: 29391
Lose-Remote

Reg: 05.03.2007
Beiträge: 357
Standard

Zitat:
Zitat von jiw Beitrag anzeigen
soll ich jetzt wirklich die Dateien rausfinden durch Brute-Force?
Du sagst mir also als Moderator des Forenbereichs, das ich nur zu deinem Vergnügen,
eine Live-Seite attackieren soll und deren (Bilder-) Server evtl. empfindlich stören.
Ja den Service empfindlich stören kann?

Nur für dein persönliches Vergnügen? Für eine Offenlegung einer Tatsache, die Du selber, mit weit weniger Aufwand nachprüfen kannst? Lukas wird sich bedanken. Tut mir leid, aber mit dieser Aussage hast Du dich als verantwortungsvoller Moderator disqualifiziert.



1. Der "Ordner" selber ist nur über die Webseite geschützt.
2. Welchen Unterschied macht es, ob ich den Inhalt des Ordners sehen kann, oder durch einfachste Mittel prüefen kann ob eine enthaltene Datei existiert und das beliebig lange. - Der einzige Unterschied ist der Zeitfaktor und die benötigte Leistung / Bandbreite.


Bla Blaa Bla... Wenn ich weder durch einen PW-Schutz, noch durch die Anzahl meiner zugriffsversuche, gehindert werde, dann kann ich das solange durchführen bis ich die korrekten Dateinamen ermittelt habe.
Und was ist das für eine Aussage.. "praktisch nicht gezielt auffindbar" so was wie vielleicht doch sicher sauber?
Entweder es ist gezielt auffindbar oder nicht. Dein Satz ist einfach nur Geblubber und zeigt nur deine Unkenntnis.


Ansonsten siehe oben.

Du hörst dich an wie Norbert "Die-rente-ist-sicher" Blüm an, der hat auch stets die gleichen schon längst widerlegten Argumente gebracht. Selbst als ihm die Leute ihre Renten-Bescheide zeigten.
Tut mir leid, aber auch dadurch hast Du dich disqualifiziert, in dem versuchst es ins Lächerliche zu ziehen.

Gruß Aru
[/QUOTE]

Das sehe ich genauso! Scheinbar verstehen es ja genug Leute hier, wie man die Bilder wieder zu Tage fördert und nur wegen Engstirnigkeit gehe ich keine illegalen Geschäften nach!

Interessant wäre ein Copyright Bild, welches von einem User in einen "geschützten" Ordner hochgeladen wurde und dann eine Anzeige auf den Betreiber des Bilddienstes! Klamm kann ja schlecht sagen der User hätte wissen müssen, dass man seine Bilder dann überall einbinden kann (Was der User evtl. ja noch darf, nicht aber jeder x beliebige) Ähnliche Urteile gab es bei Facebook schon!

Zum Thema Https:

Klamm unterstütz ja auch noch nicht 100% https von daher könnte man da gleich weiter machen.
M3Y3R gefällt das.
baggacfreak ist offline Threadstarter   Mit Zitat antworten
Alt 05.02.2015, 11:04:43   #55 (permalink)
Administrator
Benutzerbild von klamm

ID: 20876
Lose-Remote

Reg: 20.04.2006
Beiträge: 11.015
Standard

Leute kommt mal ein bisschen runter bitte ...
Kurz mal die Fakten:

Richtig, die Dateien an sich sind nicht geschützt, außer durch den generierten Dateinamen, den niemand kennt.
Weil: Die static-Server, auf denen die Bilder liegen, sind wirklich reine "Dateien-Auslieferer". Die tun nix anderes, haben kein PHP oder ähnliches, kein DB-Backend zu klamm. Daher wäre ein echter PW-Schutz (pro Datei) nur mit sehr viel Overhead bzw. einer anderen Infrastruktur zu implementieren.

Google kann die Bilder nicht finden, sofern die URL nicht öffentlich irgendwo steht.
Punkt.

Bruteforcen kann ich sowohl die codierte Bild-URL, als auch ein etwaiges Passwort.
Darüber brauchen wir also nicht diskutieren.

Einzig der Fall, dass ehemals öffentliche Bilder im Nachhinein geschützt werden - und somit von früher vllt. noch im Google-Index sind - das lasse ich gelten. Aber hier gilt wie im gesamten Inet: Lade niemals irgendwas öffentlich hoch, was vllt. irgendwann mal keiner mehr sehen soll. Das Internet vergisst nichts.
 
klamm ist offline   Mit Zitat antworten
Alt 05.02.2015, 11:10:08   #56 (permalink)
Erfahrener Benutzer
Benutzerbild von Smssam

ID: 425675
Lose-Remote

Reg: 06.11.2011
Beiträge: 2.392
Standard

Der Ärger wird wohl erst groß sein, wenn von irgendeiner Dame die nicht öffentlichen "Bade-Tag-Bilder" oder "Dessous-Shooting-Fotos" an die Öffentlichkeit geraten. Dann wird folglich nach einem schuldigen gesucht und ein "Man lädt dann solche Bilder nicht ins Internet hoch" stimmt bedingt.

Ein Laie geht wohl davon aus, dass ihre Bilder wohl in besten Händen sind. Die Art und weise dieser Sicherheitslücke ist meiner Meinung schon fatal - erst recht wo nun bekannt ist WIE man die Sicherheitslücke ausnutzen kann. Dafür muss man noch nicht mal ein erfahrener Hacker sein, irgend so ein Script-Kiddy könnte sein angepasstes Brut-Force Script während er in der Schule ist einfach so laufen lassen... oder ein wütender Ex-Freund während er auf der Arbeit ist?

EDIT: @Klamm, aber man könnte die Nutzer wenigstens darauf hinweisen... ein Laie könnte wohl von einen "guten" Schutz ausgehen....

Zitat:
Zitat von klamm Beitrag anzeigen
[...]Bruteforcen kann ich sowohl die codierte Bild-URL, als auch ein etwaiges Passwort [...]
Betrifft das nur die Passwörter bei den Bildern? Denn ich hoffe doch, das bei den Klamm Passwörtern bei X-Fehlversuchen eine "Sperre für Y Zeit" eingreift...
Manche sind wohl chronisch an "cerebrale Diarrhoe" erkrankt...

Geändert von Smssam (05.02.2015 um 11:16:35 Uhr)
Smssam ist offline   Mit Zitat antworten
Alt 05.02.2015, 11:11:38   #57 (permalink)
Administrator
Benutzerbild von klamm

ID: 20876
Lose-Remote

Reg: 20.04.2006
Beiträge: 11.015
Standard

Brute-Force kannst Du genauso über Dein "sicheres Passwort" laufen lassen.
Dann hast Du gleich ALLE Bilder ... oder das klamm-PW, dann hast Du gleich ALLES.
Also das Argument können wir echt außen vor lassen.
 
klamm ist offline   Mit Zitat antworten
Alt 05.02.2015, 11:19:24   #58 (permalink)
Primus inter pares
Benutzerbild von DaPhreak

ID: 30143
Lose-Remote

DaPhreak eine Nachricht über ICQ schicken
Reg: 08.05.2006
Beiträge: 2.291
Standard

Zitat:
Zitat von klamm Beitrag anzeigen
Brute-Force kannst Du genauso über Dein "sicheres Passwort" laufen lassen.
Wobei Du zugeben musst, dass ein 10-Zeichen-Hash auf einem Static-Server schon fast eine Einladung ist. Das schafft auch ein Script-Kiddie. Wieso nicht wenigstens auf 30 Zeichen erhöhen? Das dürfte ein bruteforcen schon ziemlich unwirtschaftlich machen.
"There is nothing noble in being superior to your fellow man. True nobility is being superior to your former self." - Ernest Hemingway
DaPhreak ist offline   Mit Zitat antworten
Alt 05.02.2015, 11:26:38   #59 (permalink)
ohne Vertrauen
Benutzerbild von Bububoomt

ID: 10361
Lose-Remote
Krank

Bububoomt eine Nachricht über ICQ schicken
Reg: 28.04.2006
Beiträge: 19.532
Standard

Passwort Bruteforcen würde aber auch nicht klappen, wenn man eine Zeitsperre einbaut.
nach 3 * Falsch > 1 Min. nach 5 mal 5 Min. .....
Oder nach x mal ganz sperren...

Dann schaffst du das nicht!

Und bzgl. Static server, und wenn einfach nur der direkte Aufruf gesperrt wird, das nur ein Aufruf über klamm.de klappt...
Und dann zumindest noch eine Sperre für Google und Co.

Wäre ja schon mal ein Anfang.
jiw gefällt das.
Bububoomt ist offline   Mit Zitat antworten
Alt 05.02.2015, 11:27:50   #60 (permalink)
jiw VERIFIZIERTER User
Konto blockiert

ID: 33571
Lose-Remote

Reg: 20.04.2006
Beiträge: 2.643
Standard

Zitat:
Zitat von baggacfreak Beitrag anzeigen
[...]Interessant wäre ein Copyright Bild, welches von einem User in einen "geschützten" Ordner hochgeladen wurde und dann eine Anzeige auf den Betreiber des Bilddienstes! Klamm kann ja schlecht sagen der User hätte wissen müssen, dass man seine Bilder dann überall einbinden kann (Was der User evtl. ja noch darf, nicht aber jeder x beliebige) Ähnliche Urteile gab es bei Facebook schon!
Nun man könnte jetzt naturlich noch weitere Szenarien entwerfen, die aber letztendlich immer wieder darauf hinauslaufen, das der versprochene Schutz, der durch ein Setzen eines Passworts sugerriert wird, keiner ist, da es nur in einem speziellen Fall überhaupt zur Anwendung kommt.

Auch zu diskutieren, welcher Art das Bild nun in einem geschützten Album ist, ist nicht zielführend, für jeden Klamm-User ist das unterschiedlich, Bild vom ersten Pickel, Selfie vom ersten Sex, das reale Gesicht, Bild einer Blume, etc ...

Tatsache ist, der User "lädt" es in geschütztes Album und ist der Meinung, da er beim Aufruf des Albums nach einem Passwort gefragt wird, welches er gesetzt hat, das die enthaltenen Bilder sicher vor einem Zugriff sind.

Dieser Schutz sollte zumindest alle Arten von externem (im Internet möglichen) Zugriff einschliessen.
Darauf vertraut der User, das wird ihm durch die entsprechenden Texte und verwendeten Symbole suggeriert.

Zitat:
Zitat von baggacfreak Beitrag anzeigen
Zum Thema Https:
Klamm unterstütz ja auch noch nicht 100% https von daher könnte man da gleich weiter machen.
Ja, da stimme ich zu, ist auch ein interessantes Thema zu dem man diskutieren kann, nur sollte dafür ein eigenes Thema aufgemacht werden, da die Sichtweisen und Argumente Pro und Contra von beiden Seiten betrachtet werden müssten und nur am Rande (sichere Übertragung von PW und geschützten Inhalten) mit dem Thema hier zu tun haben.
Edith:
Zitat:
Zitat von klamm Beitrag anzeigen
Leute kommt mal ein bisschen runter bitte ...
Kurz mal die Fakten:
Richtig, die Dateien an sich sind nicht geschützt, außer durch den generierten Dateinamen, den niemand kennt.
richtig er wird automatisch generiert, ist aber unerheblich ob ich ihn kenne, da:
Zitat:
Zitat von klamm Beitrag anzeigen
Weil: Die static-Server, auf denen die Bilder liegen, sind wirklich reine "Dateien-Auslieferer".
- Und somit der "Schutz" den du bietest, die Möglichkeit Bilder in PW-geschützes Album abzulegen, nur reine Makulatur ist, damit versprichst du einen Schutz der von dir nicht umgesetzt wird.
- ein Berufen auf den Schutz durch einen Dateinamen, der zufällig beim Erstellen generiert wird, mag zwar eine Hürde sein, ein Schutz ist es dadurch aber noch lange nicht, da nichts mich hindert, den Dateinamen beliebig auszuprobieren, (das muss ich in jedem Fall), zumindest eine Abfrage auf das vom User eingerichtete Passwort würde reichen, den Zugriff von Skript-Kiddies oder Jemandem dem ich den Zugriff nachträgllich entziehen möchte, zu verhindern.

Zitat:
Zitat von klamm Beitrag anzeigen
Daher wäre ein echter PW-Schutz (pro Datei) nur mit sehr viel Overhead bzw. einer anderen Infrastruktur zu implementieren.
Warum "versprichst" Du diesen Schutz dann durch die Möglichkeit ein Passwort auf ein Album zu setzen?
Wenn Du diesen Schutz nicht gewährleisten kannst, dann solltest Du diesen erst gar nicht anbieten.
Damit wägst du den User in einer Sicherheit, die Du ja gar nicht umgesetzt hast.

Zitat:
Zitat von klamm Beitrag anzeigen
Google kann die Bilder nicht finden, sofern die URL nicht öffentlich irgendwo steht. Punkt.
Richtig, Du selber bietest keine Möglichkeit, das Google die Bilder finden kann.
Das hindert aber Dritte nicht daran, deinen öffentlichen Bilder-Server und die enthaltenen Bilder nicht durch selbst erstellte Webseiten doch google zur Indizierung zur Verfügung zu stellen.
Der Zugriff auf die eigentliche Datei wird von Dir ja nicht geschützt.

Zitat:
Zitat von klamm Beitrag anzeigen
Bruteforcen kann ich sowohl die codierte Bild-URL, als auch ein etwaiges Passwort.
Darüber brauchen wir also nicht diskutieren.
Naja, dadurch das das hier ein Diskussions-Forum ist... diskutieren wir einmal..

Brute-Force ist aber durchaus mit Diskussionsgrundlage, da du es ermöglichst, durch das freie Testen auf Existenz einer Datei, einem vorhersagbaren Pfad und Namens-Schema, den Namen einer Datei herauszufinden. Der versprochene Schutz vor Zugriff wird von Dir nicht umgesetzt.

Zitat:
Zitat von klamm Beitrag anzeigen
Einzig der Fall, dass ehemals öffentliche Bilder im Nachhinein geschützt werden - und somit von früher vllt. noch im Google-Index sind - das lasse ich gelten.
Würdest Du den Passwort-Schutz auch auf den Abruf der "geschützten" Bilddateien ausweiten, bräuchten wir über Such-Maschinen und evtl. vorhandene indizierte URL gar nicht diskutieren.

Zitat:
Zitat von klamm Beitrag anzeigen
Aber hier gilt wie im gesamten Inet: Lade niemals irgendwas öffentlich hoch, was vllt. irgendwann mal keiner mehr sehen soll. Das Internet vergisst nichts.
Lukas, schalte bitte die PDM wieder ab und versuche nicht abzulenken.
Du bietest mit der Möglichkeit, ein Passwort, zum Schutz vor Aufruf eines Albums (und deren enthaltener Bilder), zu setzen eine vorgetäuschte Sicherheit an, da Du nicht die enthaltenen Bilder durch das Passwort auch schützt.
Dem User wird durch diese Funktion vorgetäuscht, eben nicht sein Bild öffentlich hochzuladen/ bereitzustellen.
Dafür hat der User ja die ungeschützten Alben.

Zitat:
Zitat von klamm Beitrag anzeigen
Brute-Force kannst Du genauso über Dein "sicheres Passwort" laufen lassen.
Dann hast Du gleich ALLE Bilder ... oder das klamm-PW, dann hast Du gleich ALLES.
Also das Argument können wir echt außen vor lassen.
Nein können wir nicht, denn die einzige Hürde ist, den Dateinamen herauszufinden, Brute-Force ist hier der übliche Weg.
Schlimm für den User ist aber, das du ihm suggerierst, das er durch das Ändern des Passwortes eines Album, er die Möglichkeit hat, den Zugriff nachträglich zu verhindern.
Da Du diesen Schutz eines Passworts nur auf der Webseite selber überprüfst, ist die Schutzfunktion wirkungslos.

Tut mir leid, aber wenn Du ein Schutz durch ein PW anbietest, dann solltest du diesen auch vollständig umgesetzt anbieten oder gleich entfernen und deutlich machen das alle Bilder öffentlich sind.

Einfach einen Aufkleber drauf machen "Ist geschützt durch.." reicht nicht, erst die Umsetzung des Schutzes durch Implementation und Überprüfung, leistet erst den Schutz den dieser Aufkleber verspricht.

Ich finde es schade, du versuchst deinen Verlust durch Betrug bei PL / Vergütung etc. durch Einsatz von Einmal-Token zu verhindern, auf der anderen Seite scheint Dir der Schutz anvertrauter Bildern egal zu sein, sonst hättest du zumindest den anonymen Zugriff auf die geschützten Bild-dateien schon verhindert. Es verlangt niemand von dir, eine unknackbaren Schutz zu realisieren, sondern nur die Authentifikation bei Zugriff umzusetzen.
M3Y3R und baggacfreak gefällt das.
 

Geändert von jiw (05.02.2015 um 13:03:51 Uhr)
jiw ist offline   Mit Zitat antworten
Antwort

Gesponsorte Links

Anzeige


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind an
Pingbacks sind an
Refbacks sind an


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Markenrechtlich geschützte Namen SuNr1s3 Marketing 2 04.02.2011 11:28:31
Geschützte Symbole und Figuren in Slotmaschinen? AnderZon Lose-Talk 3 27.11.2009 14:07:53
Confixx geschützte Grafik... MisterS Bug-Report 6 26.11.2007 17:21:09


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:21:06 Uhr.