Zurück   klamm-Forum > klamm.de > klamm talk > Bug-Report

Like Tree27Likes

Antwort
 
LinkBack Themen-Optionen Ansicht
Alt 01.02.2015, 11:15:02   #1 (permalink)
Erfahrener Benutzer

ID: 29391
Lose-Remote

Reg: 05.03.2007
Beiträge: 357
Standard Zugriff auf geschützte Bilder?

Wenn ich den direkten Link eines geschützten Bildes von mir in Google eingebe, sehe ich das Bild?!?

http://img4.klamm.de/gallery/picz/20...d3afc0_big.jpg

Sollte das so sein?
baggacfreak ist offline   Mit Zitat antworten
Alt 01.02.2015, 11:16:19   #2 (permalink)
Erfahrener Benutzer

ID: 29391
Lose-Remote

Reg: 05.03.2007
Beiträge: 357
Standard



ach noch besser ich kann es hier auch einbinden!
baggacfreak ist offline Threadstarter   Mit Zitat antworten
Alt 01.02.2015, 11:26:38   #3 (permalink)
jiw VERIFIZIERTER User
Konto blockiert

ID: 33571
Lose-Remote

Reg: 20.04.2006
Beiträge: 2.643
Standard

Das sind die neuesten Social Funktionen.

Und warum schützt du deine Bilder?
Hast du was zu verbergen, hää??
 
jiw ist offline   Mit Zitat antworten
Alt 01.02.2015, 11:39:33   #4 (permalink)
Erfahrener Benutzer

ID: 29391
Lose-Remote

Reg: 05.03.2007
Beiträge: 357
Standard

Naja, wenn ich Bilder nur für Bekannte zugängig machen möchte, dann bringt der Passwortschutz ja mal nicht besonders viel. Außerdem bedeutet dies ja auch, dass Google und Co. die Bilder zu Gesicht bekommt bzw. ein findiger Hacker auch alle Bilder von Klamm abziehen kann. Wäre jetzt nicht so schön, oder?
baggacfreak ist offline Threadstarter   Mit Zitat antworten
Alt 01.02.2015, 12:25:04   #5 (permalink)
warm draußen,oder?
Benutzerbild von kbot

ID: 50740
Lose-Remote
Reallife

Reg: 20.04.2006
Beiträge: 4.131
Standard

und wie soll jemand an diese Bilder kommen, wenn er den genauen Dateinamen nicht kennt?

ich meine, man hat ja nur Zugriff, wenn man sowieso schon weiß, wie das Bild heißt...

und mal im Ernst, ich glaube weniger, dass hier demnächst das Fappening 2.0 geschieht
Zitat:
Zitat von Columbus Beitrag anzeigen
Ich gehe mal mit Mone kondom, solche Interna gehen keine User etwas an, ...
kbot ist offline   Mit Zitat antworten
Alt 01.02.2015, 14:58:41   #6 (permalink)
Erfahrener Benutzer

Reg: 20.04.2006
Beiträge: 5.454
Standard

Das war ja klar, hier wird ein skandalöser Bug offengelegt und es wird gleich alles runtergespielt.

Was ist denn mit den Crawlern der Suchmaschinen? Die nehmen alles was sie finden können in den Index auf und plötzlich taucht angeblich geschütztes Bildmaterial in der Bildersuche der Suchmaschinen auf. Das hätte jetzt ja auch ein etwas pikanteres Foto sein können als wie in dem Beispiel gezeigt.
jiw, M3Y3R und baggacfreak gefällt das.
 
k491 ist offline   Mit Zitat antworten
Alt 01.02.2015, 15:02:55   #7 (permalink)
warm draußen,oder?
Benutzerbild von kbot

ID: 50740
Lose-Remote
Reallife

Reg: 20.04.2006
Beiträge: 4.131
Standard

Zitat:
Zitat von daric Beitrag anzeigen
plötzlich taucht angeblich geschütztes Bildmaterial in der Bildersuche der Suchmaschinen auf.
und welchen Stichworten lässt sich das Foto denn finden, ohne dass dieser Thread hier referenziert wird?
Zitat:
Zitat von Columbus Beitrag anzeigen
Ich gehe mal mit Mone kondom, solche Interna gehen keine User etwas an, ...
kbot ist offline   Mit Zitat antworten
Alt 01.02.2015, 15:17:27   #8 (permalink)
Erfahrener Benutzer

ID: 29391
Lose-Remote

Reg: 05.03.2007
Beiträge: 357
Standard

Es geht hier ja nicht darum, wie ein Bild gefunden wird, sondern darum, dass Bilder die "geschützt" sind überhaupt frei zugreifbar sind. Ein Script mit Bruteforce und man kann sich alle Bilder besorgen. Also für mich ist das hier schon ein Bug!

Nur so als Beispiel!

https://www.google.de/search?tbs=sbi...ed=0CB0Q9Q8oAA

Man kann auch nur für Klammuser sichtbare Bilder googeln und Informationen abziehen!
baggacfreak ist offline Threadstarter   Mit Zitat antworten
Alt 01.02.2015, 15:29:52   #9 (permalink)
warm draußen,oder?
Benutzerbild von kbot

ID: 50740
Lose-Remote
Reallife

Reg: 20.04.2006
Beiträge: 4.131
Standard

Zitat:
Zitat von baggacfreak Beitrag anzeigen
Nur so als Beispiel!

https://www.google.de/search?tbs=sbi...ed=0CB0Q9Q8oAA

Man kann auch nur für Klammuser sichtbare Bilder googeln und Informationen abziehen!
hmm? ich seh bei dem Link nix von klamm.de
Zitat:
Zitat von Columbus Beitrag anzeigen
Ich gehe mal mit Mone kondom, solche Interna gehen keine User etwas an, ...
kbot ist offline   Mit Zitat antworten
Alt 01.02.2015, 15:32:27   #10 (permalink)
Erfahrener Benutzer

ID: 29391
Lose-Remote

Reg: 05.03.2007
Beiträge: 357
Standard

Ich sehe dein Bild und die Information Rammstein, aber scheinbar ist Privatsphäre noch immer nicht angekommen. Ich frag mich was noch Alles freigelegt werden muss von Hackern bevor jeder kapiert um was es geht.
baggacfreak ist offline Threadstarter   Mit Zitat antworten
Alt 01.02.2015, 16:24:02   #11 (permalink)
King with a crown
Benutzerbild von DelphiKing

ID: 46719
Lose-Remote

DelphiKing eine Nachricht über ICQ schicken
Reg: 20.04.2006
Beiträge: 6.705
Standard

Zumal es ja technisch auch nicht weiter schwierig ist, die Berechtigungs-Überprüfung auch für die Bilddatei selbst und nicht nur die Album-Unterseite von klamm zu machen!
 
DelphiKing ist offline   Mit Zitat antworten
Alt 01.02.2015, 16:51:18   #12 (permalink)
Erfahrener Benutzer
Benutzerbild von mbassus

ID: 104267
Lose-Remote
Reallife

mbassus eine Nachricht über ICQ schicken mbassus eine Nachricht über MSN schicken mbassus eine Nachricht über Skype™ schicken
Reg: 23.04.2006
Beiträge: 5.013
Standard

Ja klar, wenn du das Bild hochlädst.. findest du es.

Ich versteh aber immer noch nicht, wie du von google mit welchem suchbegriff auf klamm.de kommst?
mbassus ist offline   Mit Zitat antworten
Alt 02.02.2015, 12:03:59   #13 (permalink)
Erfahrener Benutzer
Benutzerbild von robert

ID: 18683
Lose-Remote

Reg: 28.04.2006
Beiträge: 521
Standard

Was auch super funktioniert und kann man wunderbar an Lukas' Profil austesten:

Wenn man z.B. über das Webarchiv https://web.archive.org die Profilseite aufruft, kann man "Glück" haben auf ein Profil zu stoßen, dessen Bilderordner erst später geschützt wurden. Da hat man schonmal Zugriff auf Thumbnails. Die Großansichten sind ggf. nicht archiviert, weil der Ordner "nur für Nutzer" sichtbar war.
Aus dem Schema für den Speicherort der Thumbnailbilder und Speicherort der Orignalansicht kann man sich dann sehr einfach die BildURL zusammenpuzzeln (ein /thumbs/ hier weg, ein /pics" da hin, ein _thump.jpg da weg und ein "_big.jpg" dort hin) und kann das Originalbild wieder sehen.

Dieser Angriff setzt natürlich vorraus, dass das Crawlen von so Archivseiten so schnell passiert, dass der noch ungeschützte Ordner archiviert werden konnte. Aber auch wenn man einen Ordner erst nachträglich sperrt (z.B. weil das Feature vorher nicht existierte), dann sollte man nicht mehr an die Bilder rankommen (auch wenn zum Zeitpunkt ohne Schütze die Bilder evtl. schon vielfach "archiviert" wurden)
DelphiKing, baggacfreak und Smssam gefällt das.
 
robert ist offline   Mit Zitat antworten
Alt 02.02.2015, 15:48:51   #14 (permalink)
Moderator
Benutzerbild von Arusiek

ID: 36574
Lose-Remote

Reg: 05.05.2006
Beiträge: 6.381
Standard

Zitat:
Zitat von robert Beitrag anzeigen
Was auch super funktioniert und kann man wunderbar an Lukas' Profil austesten:


Da ist es ja schon fast einfacher das PW für klamm-Acc. oder Email zu erraten um die Bilder so zu sehen.

Wenn Bilder wirklich soo privat oder geheim sind, daß sie nie jemand zu Gesicht bekommen darf, dann sollte man sie eben nicht ins Netz stellen, schon gar nicht auf einer Paid4-Seite. Meine Meinung...

Gruß Aru
Morphi21 gefällt das.
You're wondering now, what to do, now you know this is the end
You're wondering how, you will pay, for the way you misbehaved
Curtain has fallen, now you're on your own
I won't return, forever you will wait

Arusiek ist offline   Mit Zitat antworten
Alt 02.02.2015, 19:24:37   #15 (permalink)
King with a crown
Benutzerbild von DelphiKing

ID: 46719
Lose-Remote

DelphiKing eine Nachricht über ICQ schicken
Reg: 20.04.2006
Beiträge: 6.705
Standard

Zitat:
Zitat von Arusiek Beitrag anzeigen
Da ist es ja schon fast einfacher das PW für klamm-Acc. oder Email zu erraten um die Bilder so zu sehen.
Zwei fest definierte Wörter in einer URL von der wayback-machine zu ändern ist "fast schwieriger" als ein Passwort zu erraten?
 
DelphiKing ist offline   Mit Zitat antworten
Antwort

Gesponsorte Links

Anzeige


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind an
Pingbacks sind an
Refbacks sind an


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Markenrechtlich geschützte Namen SuNr1s3 Marketing 2 04.02.2011 11:28:31
Geschützte Symbole und Figuren in Slotmaschinen? AnderZon Lose-Talk 3 27.11.2009 14:07:53
Confixx geschützte Grafik... MisterS Bug-Report 6 26.11.2007 17:21:09


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:28:31 Uhr.