Sicherheitslücken in bekannten Mailern ermöglichen Passwortdiebstahl

Nur bei den Jagusch-Scripts, und da auch nur bei einem Teil mit Erfolg. Wenns beim Loginformular nicht geklappt hat, hab ichs mir nicht weiter angesehen.
 
chillervalley schrieb:
Wozu volle 50k Zeilen Code durchschauen wenn man doch weiß wobei solche fehler auftreten? (Eingaben...)
Zum Vergrößern anklicken....

Genau das ist eben das Problem von diesem Script man muss den kompletten Code durchschauen um wirklich alle Lücken schliessen zu können.

Denkst du wirklich ich hätte mich noch nicht bei meinem Progger informiert?

Wenn das ne Std Arbeit wäre würden wir hier gar nicht diskutieren.

Es ist Wirtschaftlich uninteressant all diese Sicherheitlücken zu finden und zu schliessen. Man spricht hierbei von einem kalkulierbaren Risiko.

Dieses Risiko decke ich mit regelmässigen Backups ab womit ich jederzeit jeden Useraccount wieder her stellen kann.

Ich habe mich nun doch dazu entschlossen hier etwas aus dem Nähkästchen zu plaudern, da hier meiner Aussage eh kein Glauben geschenkt wird.

Ich habe mich damals für einen Mailer mit Jagusch 2.0 Script entschieden weil dieses Script sehr Benutzerfreundlich aufgebaut ist. Das gerade die 2.0 Version voller Bugs ist war mir von Anfang an klar.

Mit den Jahren haben wir soviel an diesem Script geändert und verbessert das es einfach nicht möglich ist einfach mal schnell auf ein anderes Script um zu steigen vorher kann ich dicht machen.

du kannst mir schon glauben wenn ich hier schreibe das mir die Sicherheit meiner User am Herzen liegt. Das ist so denn meine User sind mein Kapital nur kann ich nicht den wirtschaftlichen Aspekt ausser acht lassen ich muss immer sehen das ich das Beste für meine User und auch für mich heraus hole. Eine 100%ige sicherheit gibt es nicht.

Die angesprochenen Sicherheitlücken von euch hier sind nun mal so das es auch zum Grossteil auf den User selbst ankommt. Auch User müssen ich Sachen Sicherheit bei Ihrem Account mit in die Verantwortung gezogen werden.

Ich habe über 3000 User nicht selten erreicht mich eine Mail von einem User der mir sagt mein Account wurde gehackt oder ich komm nicht mehr in den Account. Meistens ist es so das der User unachtsam mit seinen Daten verfahren ist, meistens wurde nur das PW geändert in "gehackt" oder "geknackt" dies ist dann ein leichtes den Account zurück zu geben. Es kommt auch vor das ganze accounts gelöscht wurden auch die kann ich wieder herstellen.

Also bitte erzählt mir nichts von Sicherheit die meisten Dienste sind so sicher wie es geht und Vertretbar ist.

Wir sprechen hier von einem kalkulierbaren Risiko und wem das nicht genug ist den kann ich nicht bei meinem Dienst halten.

Ich allein bin für meinen Dienst Verantwortlich, ich allein trage diese Verantwortung und ich allein entscheide was ich vertreten kann und was nicht.

Wenn ein User einen slochen Link klickt seinen Account dadurch verliert kann ich diesen Account wieder herstellen, wenn er das gleiche PW noch bei anderen Diensten benutzt sorry aber das ist das Problem dieses Users.

Dieser Thread hier ist jedenfalls nicht ein Schritt in Richtung Sicherheit sondern ein Schritt in die andere Richtung. Mit dieses Thread werden erst unseriöse Personen an den Tag geholt die anderen Schaden zu fügen wollen.

Und hätte der Threadersteller sich bei der Mail an den Webmaster vorgestellt und sich zu erkennen gegeben, hätte er auch eine Antwort erhalten aber wenn ich eine Mail versende in der mehr oder weniger steht ich hab in deinem Script ein Loch gefunden wie ich dich angreifen kann, dann darf er sich nicht wundern das Webmaster diese Mail ignorieren.

Gruss
 
NebelvonAvalon schrieb:
Und hätte der Threadersteller sich bei der Mail an den Webmaster vorgestellt und sich zu erkennen gegeben, hätte er auch eine Antwort erhalten aber wenn ich eine Mail versende in der mehr oder weniger steht ich hab in deinem Script ein Loch gefunden wie ich dich angreifen kann, dann darf er sich nicht wundern das Webmaster diese Mail ignorieren.
Zum Vergrößern anklicken....
Zu erkennen gegeben? Wenn ich mich richtig erinnere, habe ich meinen vollen Namen darunter geschrieben. Soll ich dir noch meine Hobbies aufzählen und ein Foto dazupacken?
 
Talion schrieb:
Zu erkennen gegeben? Wenn ich mich richtig erinnere, habe ich meinen vollen Namen darunter geschrieben. Soll ich dir noch meine Hobbies aufzählen und ein Foto dazupacken?
Zum Vergrößern anklicken....

Das hast du nicht. Noch dazu habe ich von dir diese Mail über Beatmails erhalten in dieser Mail hast du geschrieben das du die gleiche Mail vor 2 Tagen auch an Reading4Money geschickt hast. Dort habe ich nie eine Mail von dir erhalten. Was denkst du wie ich mit solchen Mails verfahre?

Ich schreibe sicher nicht zurück und mache einen Kniefall.

Du hast nicht mal geschrieben das du User bei meinen Diensten bist. Ich habe sogar nach deiner Mail addi gesucht diese aber weder bei Beatmails noch bei Reading gefunden.

Nun sage mir wie würdest du mit einer solchen Mail verfahren wenn du diese bekommst?

Ich habe schon gesucht finde die Mail aber nicht mehr ich habe sie wohl gleich komplett gelöscht. Schade hätte ich mal aufheben sollen

Gruss

Edit: Ich muss mich korregieren dein Name steht in der Mail ich habe sie gerade gefunden.

Trotzdem finde ich ein Hinweis das du User bei mir bist/warst wäre hilfreich gewesen. Ich weiss nicht ob es anderen Webbis auch so geht aber ich bekomm soviel Schrott am Tag geschickt da ist man einfach vorsichtig.

Du hast jedefalls keinen guten Text gewählt um die Sachlage zu erklären.
 
Zuletzt bearbeitet:
NebelvonAvalon schrieb:
Das hast du nicht.
Zum Vergrößern anklicken....
Das wundert mich, war dann ein Versehen. Alle Mails nach der ersten (die an reading4money ging) habe ich gespeichert, da steht der Name dabei, nur bei der ersten hab ich halt noch nicht daran gedacht, dass auch andere betroffen sein könnten.

Noch dazu habe ich von dir diese Mail über Beatmails erhalten in dieser Mail hast du geschrieben das du die gleiche Mail vor 2 Tagen auch an Reading4Money geschickt hast. Dort habe ich nie eine Mail von dir erhalten.
Zum Vergrößern anklicken....
Dort habe ich wörtlich geschrieben "hier gilt dann übrigens das gleiche was ich gestern zu reading4money geschrieben habe", also NICHT dass ich exakt die gleiche Mail geschrieben hätte, sondern nur dass es um den gleichen Sachverhalt geht. Und dort übrigens definitiv mit vollem Namen.

Du hast nicht mal geschrieben das du User bei meinen Diensten bist.
Zum Vergrößern anklicken....
Bin ich auch nicht mehr. Bei Reading4money habe ich im März 2007 eine Auszahlung erhalten und mich danach abgemeldet; die anderen Mailer kannte ich nichtmal.

Nun sage mir wie würdest du mit einer solchen Mail verfahren wenn du diese bekommst?
Zum Vergrößern anklicken....
Ganz ehrlich: Ich würde wenigstens ein "Danke für den Hinweis" schreiben, das dauert nicht länger als die Mail zu löschen. Und bei allen Überlegungen zum kalkulierbaren Risiko würde ich wenigstens die genannte Sicherheitslücke behoben, denn anhand des Loginformulars hatte man ja einen Schnelltest dafür, ob die Sicherheitslücke vorhanden war oder nicht.



Edit: Okay, vielleicht wäre mit Hinweis auf die frühere Mitgliedschaft klarer gewesen, dass ich nicht vorhatte, Schaden anzurichten. Andererseits gibt es auch unter den Usern sicherlich schwarze Schafe, daher gibt das imho auch nicht viel Sicherheit. Und ob mein Text da ungünstig war, kann ich jetzt nicht so genau beurteilen, aber ich dachte, allein durch die Meldung wäre klar, dass ich nicht zu den "Bösen" gehören so dass sich Unklarheiten leicht in weiteren Mails hätten klären lassen können.
 
Zuletzt bearbeitet:
Wie ich in meinem voran gegangenen Post editert habe hast du deinen Namen hinzugefügt. Weiter habe ich bei Reading4Money eben nichts von dir erhalten.

Für mich war die Mail eine Verarsche sonst nichts und für sowas bedanke ich mich nicht. Wenn jemand mir einen Ernstgemeinten Tip geben möchte schaut das für mich anders aus. Ok vielleicht hast du dies bei Reading4Money getan da habe ich aber nichts erhalten warum auch immer.

Die genannte Sicherheitlücke ist behoben. Nur eben bringen tut das nicht viel.

Mir geht es viel mehr darum das du mit diesem Thread niemanden geholfen hast. Im Gegenteil.

Mir ist es auch egal ob du mit diesem Thread einen Angriff auf meinen Dienst beabsichtigt hast oder nicht das ist mir egal. Ich kann mit Kritik umgehen.

Die welche mich kennen wissen wie ich arbeite und meinen Dienst führe alles andere ist Uninteressant.

Ich denke auch dieses Problem trifft auf fast jeden Paidmailer zu. Das du gerade die hier ausgewählt und Namentlich genannt hast war wohl nicht gerade der Beste Einfall aber ich kanns verstehen.

Jedoch solltest auch du bedenken wenn du auch niemanden etwas böses willst das sich hier auch andere Subjekte rumtreiben die es weniger gut meinen als du.

Das ist das einizge was ich dir hier vorwerfen kann, diesen Leuten hast du mit deinem Thread Tür und Tor geöffnet.
 
NebelvonAvalon schrieb:
Das du gerade die hier ausgewählt und Namentlich genannt hast war wohl nicht gerade der Beste Einfall aber ich kanns verstehen.

Jedoch solltest auch du bedenken wenn du auch niemanden etwas böses willst das sich hier auch andere Subjekte rumtreiben die es weniger gut meinen als du.

Das ist das einizge was ich dir hier vorwerfen kann, diesen Leuten hast du mit deinem Thread Tür und Tor geöffnet.
Zum Vergrößern anklicken....
Wenn es mich keine Mühe gekostet hat, diese Lücken zu finden, hätte es böswillige User auch keine Mühe gekostet. (Falls das Jagusch-Script noch erhältlich ist, wäre es ja sogar noch leichter gegangen.) Tür und Tor standen jedenfalls auch vor diesem Thread schon offen, ich habe nur darauf hingewiesen, und das auch erst nach einer Wartezeit in der eben keine Reaktionen kamen. Wenn ich einen Dienst als User nutze, ist es in meinem Interesse, das Sicherheit nicht darauf beruht, dass noch niemand die Lücken gefunden hat, sondern dass sie nicht existieren, daher ist das meiner Meinung nach eine Sache, die die Öffentlichkeit betrifft.
Warum meine Mail an reading4money nicht angekommen ist, kann ich nicht sagen, aber am Impressum war ja zu sehen, dass mehrere einzeln angeschriebene Mailer der selben Person gehörten, so dass ich mir relativ sicher sein konnte, dass die Meldung auf irgendeinem Wege angekommen war.

Bei Privatseiten wäre ich nicht auf die Idee gekommen, mehr zu tun als den Zuständigen anzuschreiben. Dieser Thread hat relativ deutlich gezeigt, dass Paid-Seiten offenbar ebenfalls eher in den Privatbereich als in die professionelle Schiene zu zählen sind, daher würde ich mir auch kein zweites Mal die Mühe machen, betroffene Seiten zusammen zu suchen etc. Insofern mag es sein, dass der Thread niemandem geholfen hat. Ob es nicht eigentlich dennoch wünschenswert wäre, wenn die Paid4-Welt es auf ein professionelleres Niveau schaffen würde (dazu zählt eben auch Sicherheit, und damit auch die Veröffentlichung von Sicherheitslücken wenn sie ohne diesen Druck nicht gefixt werden), soll jeder selbst beurteilen, das geht mich nichts mehr an.
 
Das mag ja sein.Banken haben aber sicherlich ein etwas höheres Budget,um etwas gegen Phishingmails zu machen.Letztendlich haben die meisten Menschen ihr Guthaben auch auf Banken.Meinst du wegen den paar Kröten lohnt es tatsächlich sich in Unkosten zu stürzen und das zu beheben?
So wirklich interessant ist das wohl nicht,dass sich ein gesamter krimineller Zweig damit befasst...
 
Ich glaube es macht Sinn jede kleine Ecke Sicher zu machen, egal wie viel aufwand oder ob es sich Lohnen würde,....

Ich finde es cool, wenn Leute es dann auch mitteilen, aber ich bitte nich tso öttentlich! Ich kenne Jagusch code und könnte da auch nur :oops: aber man muss durch. Das nächste mal würde ich es besser finden die Betreiber oder die Programmierer darüber per E-Mail zu informieren
 
Ich habe die Seiteninhaber angeschrieben. Ich denke, es ist deren Sache, dass dann weiterzugeben, schließlich wollte ich nicht meine Zeit damit verbringen, herauszusuchen, wer für wen als Programmierer tätig ist.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben