Wo ist der Loseproof-Bugthread hin?

R

raven

Well-known member
20 April 2006
5.038
540
Hey,

ich seh heute ins Forum, such den Thread, den ich mir seit gestern gemerkt hab, und bemerke: Er ist weg! Auch die Beitragssuche hilft mir nicht weiter, er ist also nicht in ein öffentliches Forum verschoben worden.

Für mich gibts da nur zwei Möglichkeiten, korrigiert mich, wenn ich falsch liege: Gelöscht oder nach intern verschoben.
Ich wüsste ganz gerne mal, warum das so gehandhabt wird. Diese Informationen bestätigen doch geradezu, dass hier Milliarden von Losen offen rumliegen, und keiner tut was dagegen, und wird auch nichts dagegen tun, weil es nicht mehr bekannt ist! :roll:

Ich möchte damit also anregen und bitten, diese Entscheidung nochmal zu überdenken. Denn durch totschweigen werden die Probleme garantiert nicht gelöst.

Ich finde es bemerkenswert von den Blogschreibern, dass sie diese Bugs nicht ausnutzen, sondern sie veröffentlichen, damit jeder Seitenbetreiber / Entwickler der Skripte informiert wird. Sowas war dringend mal notwendig, ganz besonders, wenn man sich die Bugs zum Teil mal durchliest, das ist schon grob fahrlässig.

So, das musste ich einfach mal sagen,
raven

~Renommee Geheule entfernt by~ Sweet_Pepper
 
Zuletzt bearbeitet von einem Moderator:
Der Thread wurde in abuse-privat verschoben ...
Eine zu verstehende Spontanreaktion, allerdings wohl auf die Dauer gesehen ... eher weniger gut.

 
Das mit der Signatur ist eine gute Idee, ich mach mit.

Uebrigens bin ich auch dafuer, dass Bugtraq verboten wird, da werden sogar PoC geposted! Skandal!
 
Klasse Seite, find ich gut, dass irgendwo die Fehler zusammengefasst sind.

Jedoch ist für einige schon vorhandene Betrüger bei Klamm so eine Seite für die eine Goldgrube. Jetzt können sogar Anfänger die Anleitung befolgen und schon haben sie Seiten um viele Lose erleichtert. :ugly:
 
Anleitungen?
Also ich sehe da keine Anleitungen^^
Wie man das ausnutzt muss man noch wissen, da muss man eben nen bissel programmieren können.
 
Kleiner Tip:
Die BugFixes kosten - zumindest die VMS Besitzer - wirklich nicht viel:!:
Mit ca. 5 Mio Losen seit ihr dabei :arrow: investiert lieber die, statt nachher 500 Mio zu vermissen :!:


tT:
Sinnvolle Seite, allemal!
 
Mal ein wenig OT: Hat schon jemand gesehen, dass es mittlerweile mehr Bugs im FWX gibt, als im VMS? :ugly:

Was dort angekündigt wird, hört sich auch alles andere als gut an - offenbar dauerts noch was, bis alle Bugs durch sind ...
 
Ich muss allerdings auch dazu sagen, das ich es doch SEHR bedenklich finde, wenn sowas gelöscht/verschoben wird.

Im übrigen von wegen "Bugfixes für 5 Mio": Ich finde es traurig, das nun Leute meinen, sich an sowas "gesundstossen" zu müssen.

Richtig wäre - imho - einen eigenen Blog zu eröffnen, in dem die Bugfixes FÜR JEDEN ZUGÄNGLICH gepostet werden.

so - und der Link kommt auch bei mir in die Signatur.
 
Raven, um mal auf deinen Eröffnungsbeitrag einzugehen, ich hab dir doch gestern per ICQ genau erklärt warum der Thread aus dem Forum verschwunden ist und warum das so gehandhabt wird!

Ich kann den Ärger darüber durchaus verstehen, aber der Thread hatte hier öffentlich nichts verloren.
Durch den Thread wurden Sicherheitslücken aufgezeigt, diese aufzuzeigen ist jedoch nicht nur für die Webmaster eines solchen Scriptes hilfreich sondern auf für andere Gestalten die nur die passende Motivation brauchen ihrer kriminellen Energie freien lauf zu lassen.

Wenn du oder wer auch immer ALLE Webmaster erreichen will dann solltest du dir nen Tag frei nehmen und die Inhaber jedes Loginscriptes das betroffen ist persönlich anschreiben. Denke mal über Designerscripte etc ließe sich da ja auch ein Newsletter verbreiten.

Hier im Forum ist es so!
A) Liest nicht jeder Webbi, den die Information betrifft, hier mit
B) Lesen zuviele Augen mit die solche Informationen garnicht brauchen und die sie möglicherweise gegen die LoseSeiten Betreiber einsetzen könnten.

Wir müssen die Losekriminalität die zweifelsohne vorhanden ist nich noch durch öffentlich Listen mit Sicherheitslücken fördern.
Viele "losegauner" können wesentlich schneller reagieren als ein Wochenend Webbi der nur Samstags und Sonntags wirklich die Zeit hat sich um seine Seite zu kümmern..

the13th schrieb:
Richtig wäre - imho - einen eigenen Blog zu eröffnen, in dem die Bugfixes FÜR JEDEN ZUGÄNGLICH gepostet werden.
Zum Vergrößern anklicken....

Find ich gut! Aber nur die Fixes.. keine Details über die Fehler!
 
raven schrieb:
Mal ein wenig OT: Hat schon jemand gesehen, dass es mittlerweile mehr Bugs im FWX gibt, als im VMS? :ugly:

Was dort angekündigt wird, hört sich auch alles andere als gut an - offenbar dauerts noch was, bis alle Bugs durch sind ...
Zum Vergrößern anklicken....

mittlerweile werden aber die fehler gepostet, die mit dem sicherheitsfix von gestern behoben wurden - würde ja gern ne aktuelle version zur verfügung stellen, hab aber keinen kontakt zu denen.

ich bin für die fehler natürlich 100%ig verantwortlich und habe nun vorgesorgt - bin nochmal alle dateien durchgegangen und die eingaben werden nun alle regulären ausdrücken geprüft und eingaben mit mysql_real_escape_string in der db gespeichert.

das wäre von anfang an nötig gewesen, wurde von mir versäumt - kann ich jetzt aber nicht mehr ändern.

dass eine bugmeldung an seitenbetreiber und/oder programmierer schöner wäre sollte klar sein - bzw den betreibern eine gewisse zeit einzuräumen, die fehler zu beheben - aber naja - ist halt die holzhammermethode.

MfG bastie
 
bastie schrieb:
mittlerweile werden aber die fehler gepostet, die mit dem sicherheitsfix von gestern behoben wurden - würde ja gern ne aktuelle version zur verfügung stellen, hab aber keinen kontakt zu denen.
Zum Vergrößern anklicken....

In dem Beispiel oben würde der Cracker als Verdienst eine Milliarde Lose auf sein internes Konto gutgeschrieben bekommen, über welche er dann frei verfügen kann. Dieser Angriff funktioniert trotz Security Patch 2 ohne Probleme.
Zum Vergrößern anklicken....
Ich denke schon, dass diejenigen wissen, was sie da sagen - besonders, weil sie ja auch Screenshots gezeigt haben.

Schreib denen doch einfach die URL zum aktuellen Fix als Comment, ich denke, das werden die lesen.
 
Nightwalker schrieb:
Ich kann den Ärger darüber durchaus verstehen, aber der Thread hatte hier öffentlich nichts verloren.

Durch den Thread wurden Sicherheitslücken aufgezeigt, diese aufzuzeigen ist jedoch nicht nur für die Webmaster eines solchen Scriptes hilfreich sondern auf für andere Gestalten die nur die passende Motivation brauchen ihrer kriminellen Energie freien lauf zu lassen.
Zum Vergrößern anklicken....
Das ist putzig - security by obscurity oder was?
Ich glaube, du hinkst bezüglich deines Wissen über Sicherheitslücken, Exploitsammlungen etc. weit hinterher:

Diejenigen, welche diese Lücken nutzen wollen, um Schaden zu verursachen, werden IMMER an diese Informationen kommen - unabhängig davon ob jemand hier einen Thread eröffnet oder nicht.

Der "normale Webbi" oder der User, welcher sich über derartige Materie nicht wirklich viel Gedanken macht (was im Falle der Webmaster schon recht fragwürdig ist imho) kommt an diese Informationen eben nicht so leicht ran.

Ich halte in diesem Fall die Zensur eines Threads nicht nur für "suboptimal" sondern für grob fahrlässig.

Nightwalker schrieb:
Wir müssen die Losekriminalität die zweifelsohne vorhanden ist nich noch durch öffentlich Listen mit Sicherheitslücken fördern.
Viele "losegauner" können wesentlich schneller reagieren als ein Wochenend Webbi der nur Samstags und Sonntags wirklich die Zeit hat sich um seine Seite zu kümmern..
Zum Vergrößern anklicken....
Sorry - aber dann sollte dieser "Wochenend-Webbi" die Finger von solchen Seiten lassen. Und da diskutiere ich auch nicht drüber.
Es geht hier um nicht gerade geringe Geldwerte - und sowas hat in der Hand eines "Wochenend-Webbis" ohne Ahnung von der Materie nichts verloren.

Nightwalker schrieb:
Find ich gut! Aber nur die Fixes.. keine Details über die Fehler!
Zum Vergrößern anklicken....
[/quote]
Und das stellst du dir wie vor?
"Bau da mal irgendwas irgendwo ein, weil da sonst irgendwas passieren kann."?
 
jetzt haben die den neuesten -
edit: einige bugs lagen daran, dass eine ältere version bei denen vorliegt, ich weiß nicht, woher sie das archiv haben, weil da scheinbar teile im code fehlen, die schon ewig enthalten sind...
 
Zuletzt bearbeitet:
the13th schrieb:
Und das stellst du dir wie vor?
"Bau da mal irgendwas irgendwo ein, weil da sonst irgendwas passieren kann."?
Zum Vergrößern anklicken....

Ganz genau, jedes Script hat doch einen Herausgeber bzw eine Quelle wo es verbreitet wird ;)

Von dort sollten Bugfixes zu beziehen sein, evtl. noch, wie von dir angesprochen, von einem Blog aus der nachweislich qualifiziert und authorisiert ist. Aber sonst nirgendwo!

Nicht das hier noch ein Handel mit gefälschten Bugfixes, die Kriminellen Tür und Tor öffnen, entsteht.
 
Wem gehört denn dieser Blog?
Oder wie heißen die 3 Personen hier im Klammforum?
Würde gerne mal Kontakt zu denen aufnehmen...
 
Da lob ich mir doch meine RSS Feeds, LoseProof ist wieder aktiv :D

Der aktuelle Bug ist auch relativ lustig.. *hust
 
Oh, Loseproof's back :D
Bin mal gespannt, was da noch so kommt ... der neue Bug hört sich jedenfalls wieder extrem lustig an *g*
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben