nicht angemeldet
Hi,
Das in bestimmten Fällen ein transparentes, also unsichtbares Bild eingeblendet wird [...].
Ich habe, wie schon beschrieben, _kein_ Bild gesehen,
Ja, das ist für gewöhnlich so, bei einem vollständig transparentem Bild. Übrigens steht der Link als solcher (als Code) in der Formularantwortkastentextfeldvorbelegung.
Es sind vermutlich Script-Kiddies, das muß aber nicht so sein. Ein SSH-Root Zugang ist IMHO nur unwesentlich unsicherer als ein reiner User-Zugang.
Alleine der Umstand, das er unsicherer ist, egal wieviel, ist schon Argument genug.
Mit User-Rechten lässt sich auch einges kaputt machen, vor allem auch das dahinter liegende Netz kompromittieren.
Wenn das möglich ist, stimmt etwas mit Deinem Netz nicht. Der Schaden muß, da er unmöglich vollkommen auf Null gebracht werden kann, eng begrenzt sein. Wenn der Useraccount "geknackt" wurde, dann darf auch nur dieser Account und nicht mehr beschädigt werden. Dann gibt es das Problem des Privilege Enhancements. Das kann man dann aber auch auf den einzelnen Knoten beschränken. Es gibt auch noch die Möglichkeit Root ganz abzuschaffen (z.B. grsecurity, SE-Linux et al), aber das ist für den Normalsterblichen unnötig. Hauptsache die Datenhaltung ist von den Accounts vollständig getrennt.
Ich bin kein Sicherheitsexperte und habe auch keinen Root-Server, nur ein kleines privates Netzwerk. Also bedeutet es für mich einen Extra-Aufwand mir das jeweils zusätzliche Wissen zu beschaffen.
Nein, das ist nix Extra, das gehört einfach zum Grundwissen. Regelmäßiges Update gehört auch dazu, klar.
Ich studiere sehr regelmäßig meine Log-Dateien und spiele selbstverständlich alle Patches ein.
Das ist schön und respektabel, reicht aber nur sehr bedingt.
Meistens reichen diese Bedingungen aber auch für den privaten Bereich. Die wirklich gefährlichen Angriffe laufen ja heutzutage eher mit Userunterstützung, den auch die Angreifer haben mittlerweile erkannt: warum sich selber die Arbeit machen und Accounts mühselig knacken, wenn die User doch schon alles wissen?
Ja, und über AKAIK kriminelle Einbruchversuche rege ich mich den einen Tag auf und den anderen Tag lache ich darüber. Darüber hinaus macht es mir auch Spass immer Neues zum Thema Sicherheit dazuzulernen.
Hattest Du denn schon kriminelle Einbruchsversuche? Portscanning gehört übrigens nicht dazu und auch wenn ab und zu mal jemand an der Tür rüttelt ist das nicht unbedingt aufregend. Eine anständige Firewall kann darüber nur müde lächeln, die wirklichen Probleme liegen ganz woanders.
Außerdem läuft SSH jetzt auf einem anderen Port und bleibt damit vorerst für 'außerhalb' erst mal zu.
Wenn der andere Port ebenfalls einen Zugang vom Netz aus ermöglich, ist der ebenfalls als offen anzusehen. Verstecken hilft nie!
Ich finde das eher peinlich, ich hätte das nicht getan. Bloß weil irgendwelche Leute zu faul zum Nachdenken sind?
Du solltest nicht so anmaßend sein, beurteilen zu können, inwieweit andere Leute nachdenken, oder nachdenken sollten.
Hattest Du nie in Deiner Jugend folgenden kurzen Disput erleiden müssen?
"Aber ich dachte ... "
"Du sollst nicht denken, sondern _nach_denken!"
Das meinte ich mit "nachdenken". Es erfordert zwar Mühe sich erst zu informieren bevor man sich eine Meinung bildet aber es lohnt sich mitunter.
Denn dann hättest Du einiges erfahren. So z.B. _was_ überhaupt an Informationen darin steckt, das dieses Bild abgerufen wurde:
-
Das Posting wurde angeklickt. Unbekannt von wem und zu welchem Zweck und ob's überhaupt gelesen wurde.
-
Eine IP. Unbekannt von wem, zumindest für Zivilisten.
-
Einen Zeitpunkt, mit ein wenig Mühe sogar ein genauer.
Das einzig Nutzbare ist der erste Punkt: das Posting wurde angeklickt. Nun hat aber dieser Umstand nichts, aber auch rein gar nichts mit dem altem Webbug zu tun, der noch die _zusätzlichen_ Informationen beinhaltet hatte, das die Mailaddresse gültig und aktiv ist.
In Reiners Fall ist wirklich nur der Umstand "Posting wurde angeklickt" nutzbar, mehr nicht. Wenn Du mir erklären kannst, wie man das mißbrauchen kann geb' ich glatt einen aus.
Zu holzköpfig um Argumenten folgen zu können?
Welche Argumente?
Seinen, meinen, logischen, blöden, unsinnigen, guten, weniger guten, wwi -- Argumenten halt. Mit denen hast Du Dich nicht auseinandergesetzt. Nein, es ist egal, wie gut die sind. Tust Du das nicht läuft das nach dem üblichem Schema ab:
"Datt is' doch allett Mist!"
"Nein, ist es nicht, weil: Punkt 1, Punkt 2, Punkt 3 ..."
"Ach watt, datt is' doch allett Mist!"
Solche Dialoge erscheinen zumindest mir wenig erquicklich.
Auf Privatsphäre Wert legen, aber trotzdem im Netz unterwegs sind?
Was hat denn das Netz mit dieser, ich möchte es mal Community nennen, zu tun?
Um daran teilnehmen zu können mußt Du im Internet unterwegs sein, das hier ist kein abgeschlossenes privates Netzwerk.
Und im Netz die Prvatsphäre zu schützen ist schon für die wirklich wichtigen Teilbereich schwierig, da sollte man über Kleinigkeiten hinwegsehen können. Kannst Du das nicht ("können" hier nicht von "wollen" sondern mehr von "dürfen") darfst Du nicht am Internet teilnehmen, dafür gibt es bessere Möglichkeiten der Kommunikation.
Die Brute-Force Angriffe auf meine Firewall kommen bisher aus USA und Korea, also Länder wo ich so ohne weiteres niemand verklagen kann.
Korea gibt es nicht, welches Land meinst Du genau? In den USA kannst Du jedoch selbstverständlich jeden verklagen, das ist kein Problem.
Wo bleibt denn hier der Datenschutz, wenn hier jemand heimlich Daten sammelt? Und selbst wenn es nicht heimlich geschieht, wie sieht es da mit dem Datenschutz aus?
Das ist gesetzlich geregelt. Wenn Du da mißtrauisch bist oder gar einen Anfangsverdacht hast steht es Dir frei den entsprechenden Rechtsweg zu beschreiten.
Ich werde mal sehen wie Heise das handhabt, die machen ja zumindest eine Browserauswertung. Muß da nicht irgendwo erklärt werden, dass man die IP loggt etc. und müssen diese Logeinträge nicht nach einer gewissen Zeit gelöscht werden?
Ja, wie gasagt: das ist gesetzlich geregelt. Meines Wissens ist ein Hinweis auf Logging nicht erforderlich, da ein solches minimales Logging (IP+Zeit+Pfad+begrenzte Lebensdauer des Logs) für den sicheren Betrieb des Servers zwingend erforderlich ist.
Es steht mir absolut frei mich darüber aufzuregen. Und selbst wenn es an tausenden anderen Stellen im Netz auch gemacht wird, bin ich trotzdem dagegen!
Es wird nicht an tausenden von Stellen gemacht, es wird fast _überall_ getan! Wenn Du das nicht magst, darfst Du Dich auch nicht im Netz rumtreiben.
Nicht die erforderlichen Patches eingespielt haben, die es verhüten, das ein entspr. vorbereitetes JPEG bzw PNG Bild einen BO erzeugt?
Na ich will mal hoffen daß du mich hier nur verschaukeln willst!
Nein, leider nicht:
http://www.google.de/search?q=jpg png buffer overflow crafted&ie=UTF-8&oe=UTF-8
Angst darum haben, das jemand ihre IP loggt, die höchstwahrscheinlich eh dynamisch ist und in D nur durch einen gerichtlichen Beschluß nachvollzogen werden kann?
Usw usf ...Was ein Quatsch, schliesslich loggt meine Firewall ja auch alle IPs.
Aha. Und Du hältst Dich an alle relevanten datenschutzrechtlichen Bestimmungen? Und wenn Dir das egal ist: warum regst Du Dich dann darüber auf, wenn das andere tun?
Sagt mal: wie könnt ihr eigentlich Nachts überhaupt noch ruhig schlafen?
Nein, denn ich habe Angst davor, was hier noch so alles an Beschränkungen der Grundrechte auf uns zu kommt.
Wir sind in Deutschland, nicht in den USA. Hier wird niemals etwas genauso heiß gegessen, wie es gekocht wurde. Gekocht werden darf es auch nur mit Hygienenachweis, amtstierärztlicher Untersuchung des Kochs, drei Durchschlägen des Schnitzels, vier Stempeln auf dem Kochbuch, fünf Unterschriften unter dem Rezept und erfolgter Gebührenentrichtung (6 EUR. Bitte abgezählt bereithalten).
so short
Christoph Zurnieden
MudGuard