Hallo,

Das in bestimmten Fällen ein transparentes, also unsichtbares Bild eingeblendet wird [...].

Ich habe, wie schon beschrieben, kein Bild gesehen,

Ja, das ist für gewöhnlich so, bei einem vollständig transparentem Bild. Übrigens steht der Link als solcher (als Code) in der Formularantwortkastentextfeldvorbelegung.

hehe, ich rede von dem ersten Bild, oder besser dem ersten URI, nicht dem transparenten Bild was vom Script ausgeliefert wird. Daß der Link nicht im Textfeld erscheint weißt du ja schon.

Es sind vermutlich Script-Kiddies, das muß aber nicht so sein. Ein SSH-Root Zugang ist IMHO nur unwesentlich unsicherer als ein reiner User-Zugang.

Alleine der Umstand, das er unsicherer ist, egal wieviel, ist schon Argument genug.

Das ist sicher richtig und wird deshalb auch geändert.

Mit User-Rechten lässt sich auch einges kaputt machen, vor allem auch das dahinter liegende Netz kompromittieren.

Wenn das möglich ist, stimmt etwas mit Deinem Netz nicht. Der Schaden muß, da er unmöglich vollkommen auf Null gebracht werden kann, eng begrenzt sein. Wenn der Useraccount "geknackt" wurde, dann darf auch nur dieser Account und nicht mehr beschädigt werden.

Nun dann habe ich mich vielleicht falsch augedrückt. Mein altes Win98 SE zum Spielen ist halt nicht mit einer extra Firewall abgesichert, dafür ist es natürlich sicherer als eine Standard-XP Installation (ohne SP2). Aber ich traue der Sache halt einfach nicht, daher halte ich es für möglich das man in die Kiste dann eindringen könnte.

Wenn der Useraccount "geknackt" wurde, dann darf auch nur dieser Account und nicht mehr beschädigt werden.

Natürlich, so ist es ja auch. Aber von einem gültigen Useraccount aus kann man in aller Ruhe mit Brute-Force Methoden das root-password knacken, nur eine Frage der Zeit. Dafür gibt es AFAIK fertige Tools!

Dann gibt es das Problem des Privilege Enhancements. Das kann man dann aber auch auf den einzelnen Knoten beschränken.

Siehe oben, aber die Beschränkung auf den Knoten ist natürlich auch bei mir gegeben. Hehe, alle root und user Passwörter sind auf allen Rechnern verschieden.

Es gibt auch noch die Möglichkeit Root ganz abzuschaffen (z.B. grsecurity, SE-Linux et al), aber das ist für den Normalsterblichen unnötig. Hauptsache die Datenhaltung ist von den Accounts vollständig getrennt.

Wenn mein Linux-Firewall Rechner 'erobert' würde, wäre praktisch noch kein Schaden da. Neuinstallation würde weniger als 1 Std. dauern.

Ich bin kein Sicherheitsexperte und habe auch keinen Root-Server, nur ein kleines privates Netzwerk. Also bedeutet es für mich einen Extra-Aufwand mir das jeweils zusätzliche Wissen zu beschaffen.

Nein, das ist nix Extra, das gehört einfach zum Grundwissen. Regelmäßiges Update gehört auch dazu, klar.

Ja und nein, es gehört sicher zum Grundwissen eine Netzwerk und eine Firewall auzusetzen, wenn man ein Netzwerk über NAT ans Internet anschließt. Der von mir gewählte Begriff 'Extra-Aufwand' bezog sich ursprünglich auf Techniken wie Port-Knocking o.ä., ansonsten müsste ich ja nach deiner Philosophie alle Ports von 'außerhalb' blocken, denn jeder offene erhöht das Risiko. Es ist in meinem Fall aber sicher die Frage, ob es sinnvoll ist meinen privaten Web-Server in einer DMZ zu betreiben, oder gar ganz darauf zu verzichten, ähnlich gilt das für SSH.

Ich studiere sehr regelmäßig meine Log-Dateien und spiele selbstverständlich alle Patches ein.

Das ist schön und respektabel, reicht aber nur sehr bedingt. Meistens reichen diese Bedingungen aber auch für den privaten Bereich. Die wirklich gefährlichen Angriffe laufen ja heutzutage eher mit Userunterstützung, den auch die Angreifer haben mittlerweile erkannt: warum sich selber die Arbeit machen und Accounts mühselig knacken, wenn die User doch schon alles wissen?

Richtig, aber zu dieser Klientel habe ich noch nie gehört.

Ja, und über AKAIK kriminelle Einbruchversuche rege ich mich den einen Tag auf und den anderen Tag lache ich darüber. Darüber hinaus macht es mir auch Spass immer Neues zum Thema Sicherheit dazuzulernen.

Hattest Du denn schon kriminelle Einbruchsversuche? Portscanning gehört übrigens nicht dazu und auch wenn ab und zu mal jemand an der Tür rüttelt ist das nicht unbedingt aufregend. Eine anständige Firewall kann darüber nur müde lächeln, die wirklichen Probleme liegen ganz woanders.

Würdest du das Durchtesten von Loginnamen und Passwörtern als Einbruchsversuch werten? Dann wäre das vermutlich schon kriminell, oder ist das wie beim Selbsmord, der Versuch ist nicht strafbar, aber die Tat schon. fg Portscanning gehört IMHO auch nicht dazu, ich habe aber auch schon gehört, daß das andere, u.U. auch die Justiz anders sehen können.

Außerdem läuft SSH jetzt auf einem anderen Port und bleibt damit vorerst für 'außerhalb' erst mal zu.

Wenn der andere Port ebenfalls einen Zugang vom Netz aus ermöglich, ist der ebenfalls als offen anzusehen. Verstecken hilft nie!

Was denkst du denn von mir. >>:[

Ich finde das eher peinlich, ich hätte das nicht getan. Bloß weil irgendwelche Leute zu faul zum Nachdenken sind?

Du solltest nicht so anmaßend sein, beurteilen zu können, inwieweit andere Leute nachdenken, oder nachdenken sollten.

Hattest Du nie in Deiner Jugend folgenden kurzen Disput erleiden müssen? "Aber ich dachte ... " "Du sollst nicht denken, sondern _nach_denken!"

Viel schlimmer: "Aber ich habe gedacht..." "Du sollst nicht denken, überlass das lieber den Pferden, die haben einen größeren Kopp dafür."

Das meinte ich mit "nachdenken". Es erfordert zwar Mühe sich erst zu informieren bevor man sich eine Meinung bildet aber es lohnt sich mitunter.

Keine Sorge, diese Saat mußt du bei mir nicht mehr säen. Das weiß ich schon ein bisschen länger. ;-)

Denn dann hättest Du einiges erfahren. So z.B. was überhaupt an Informationen darin steckt, das dieses Bild abgerufen wurde:

Du unterschätzt mich, ich bin im Bilde was da alles übermittelt werden kann, ich weiß auch daß ein ensprechendes Perl-Script mal eben schnell noch mehr Infos beschaffen kann. Schau mal hier: http://security-protocols.com/modules.php?name=News&file=article&sid=1427

• Das Posting wurde angeklickt. Unbekannt von wem und zu welchem Zweck und ob's überhaupt gelesen wurde.

• Eine IP. Unbekannt von wem, zumindest für Zivilisten.

Ja, zusätzlich Infos zu Browser und Betriebssystem und Referrer, falls übermittelt, also vermutlich meistens.

• Einen Zeitpunkt, mit ein wenig Mühe sogar ein genauer.

Ja

Das einzig Nutzbare ist der erste Punkt: das Posting wurde angeklickt. Nun hat aber dieser Umstand nichts, aber auch rein gar nichts mit dem altem Webbug zu tun, der noch die zusätzlichen Informationen beinhaltet hatte, das die Mailaddresse gültig und aktiv ist.

In Reiners Fall ist wirklich nur der Umstand "Posting wurde angeklickt" nutzbar, mehr nicht. Wenn Du mir erklären kannst, wie man das mißbrauchen kann geb' ich glatt einen aus.

Siehe oben, da geht noch mehr.

Zu holzköpfig um Argumenten folgen zu können?

Welche Argumente?

Seinen, meinen, logischen, blöden, unsinnigen, guten, weniger guten, wwi -- Argumenten halt. Mit denen hast Du Dich nicht auseinandergesetzt. Nein, es ist egal, wie gut die sind. Tust Du das nicht läuft das nach dem üblichem Schema ab: "Datt is' doch allett Mist!" "Nein, ist es nicht, weil: Punkt 1, Punkt 2, Punkt 3 ..." "Ach watt, datt is' doch allett Mist!" Solche Dialoge erscheinen zumindest mir wenig erquicklich.

Hier wiurden bisher fast keine Argumente ausgetauscht, ich habe mich einzig über die heimliche Datenbeschaffung - so hat es sich mir dargestellt - mukiert. Bestätiging fand ich übrigens auch darin, daß als URL eine IP und keine Domain angegebnen ist, als Hürde für die, die nicht wissen was whois, bzw. entsprechende Webdienste, sind. Ich verschließe mich keinen Argumenten, solltest du einen anderen Eindruck gewonnen haben, tut es mir leid, aber das ist dein Problem.

Auf Privatsphäre Wert legen, aber trotzdem im Netz unterwegs sind?

Was hat denn das Netz mit dieser, ich möchte es mal Community nennen, zu tun?

Um daran teilnehmen zu können mußt Du im Internet unterwegs sein, das hier ist kein abgeschlossenes privates Netzwerk.

Das habe ich mir auch schon gedacht. ]:( Aber zwischen schwarz und weiß soll es ja auch noch Graustufen geben, will sagen ich würde nie heimlich meine Freunde, Kollegen o.ä. ausspionieren und sei es auch zu einem guten Zweck. Wenn würde ich mir ihr Einverständnis einholen. So gesehen betrachte ich dieses Forum hier, zumindest was die Stammposter angeht doch eher alse eine kleine Welt in einer größeren, wo auch andere moralische Ansprüche gelten könnten, ich wünsche es mir jedenfalls.

Und im Netz die Prvatsphäre zu schützen ist schon für die wirklich wichtigen Teilbereich schwierig, da sollte man über Kleinigkeiten hinwegsehen können. Kannst Du das nicht ("können" hier nicht von "wollen" sondern mehr von "dürfen") darfst Du nicht am Internet teilnehmen, dafür gibt es bessere Möglichkeiten der Kommunikation.

Das kann man so sehen, naiv bin ich in der Hinsicht sicher nicht. Aber das Internet ist nicht einfach nur das Internet, wir gestalten es mit und es ist IMHO nicht erstrebenswert einfach den Kopf in den Sand zu stecken und zu sagen, das Internet ist halt böse/gefählich, was solls. Auch hier kann man gegen Missbrauch und Kriminalität vorgehen, klar, die gesetzlichen Grundlagen kommen erst so nach und nach (z.B. Spam), aber es ist letztlich nicht statisch.

Die Brute-Force Angriffe auf meine Firewall kommen bisher aus USA und Korea, also Länder wo ich so ohne weiteres niemand verklagen kann.

Korea gibt es nicht, welches Land meinst Du genau? In den USA kannst Du jedoch selbstverständlich jeden verklagen, das ist kein Problem.

Das Land Korea, bzw. den Staat Südkorea. Wenn mir die finanziellen Mittel fehlen jemanden in den USA zu verklagen, zumal ja kein Schaden entstanden ist, kann ich ihn de facto nicht verklagen.

Wo bleibt denn hier der Datenschutz, wenn hier jemand heimlich Daten sammelt? Und selbst wenn es nicht heimlich geschieht, wie sieht es da mit dem Datenschutz aus?

Das ist gesetzlich geregelt. Wenn Du da mißtrauisch bist oder gar einen Anfangsverdacht hast steht es Dir frei den entsprechenden Rechtsweg zu beschreiten.

Weiß ich, ich will das aber auch nicht überdramatisieren, zumal es in dieser Diskussion ja schon lange klar ist, daß es allein darum geht, ob das ganze heimlich oder öffentlich angelegt war/ist.

Ich werde mal sehen wie Heise das handhabt, die machen ja zumindest eine Browserauswertung. Muß da nicht irgendwo erklärt werden, dass man die IP loggt etc. und müssen diese Logeinträge nicht nach einer gewissen Zeit gelöscht werden?

Ja, wie gasagt: das ist gesetzlich geregelt. Meines Wissens ist ein Hinweis auf Logging nicht erforderlich, da ein solches minimales Logging (IP+Zeit+Pfad+begrenzte Lebensdauer des Logs) für den sicheren Betrieb des Servers zwingend erforderlich ist.

Könnte ich mir auch so vorstellen.

Es steht mir absolut frei mich darüber aufzuregen. Und selbst wenn es an tausenden anderen Stellen im Netz auch gemacht wird, bin ich trotzdem dagegen!

Es wird nicht an tausenden von Stellen gemacht, es wird fast überall getan! Wenn Du das nicht magst, darfst Du Dich auch nicht im Netz rumtreiben.

Ich rede eher von verfolgenden Cockies und diesen besagten Bildchen (vorallem in emails), daß die Webserver loggen weiß ich ja nun wirklich ;-)

Nicht die erforderlichen Patches eingespielt haben, die es verhüten, das ein entspr. vorbereitetes JPEG bzw PNG Bild einen BO erzeugt?

Na ich will mal hoffen daß du mich hier nur verschaukeln willst!

Nein, leider nicht: http://www.google.de/search?q=jpg%20png%20buffer%20overflow%20crafted&ie=UTF-8&oe=UTF-8

Du hast mich falsch verstanden. Ich lese bei Heise alle Security-Meldungen samt den Beiträgen; habe halt nur nicht erwartet, daß du mir zutraust, daß ich darüber nicht informiert bin.

Angst darum haben, das jemand ihre IP loggt, die höchstwahrscheinlich eh dynamisch ist und in D nur durch einen gerichtlichen Beschluß nachvollzogen werden kann? Usw usf ...

Was ein Quatsch, schliesslich loggt meine Firewall ja auch alle IPs.

Aha. Und Du hältst Dich an alle relevanten datenschutzrechtlichen Bestimmungen? Und wenn Dir das egal ist: warum regst Du Dich dann darüber auf, wenn das andere tun?

Wo habe ich das denn getan?

Sagt mal: wie könnt ihr eigentlich Nachts überhaupt noch ruhig schlafen?

Nein, denn ich habe Angst davor, was hier noch so alles an Beschränkungen der Grundrechte auf uns zu kommt.

Wir sind in Deutschland, nicht in den USA. Hier wird niemals etwas genauso heiß gegessen, wie es gekocht wurde.

Das ist wohl kein deutsches Privileg.

Gekocht werden darf es auch nur mit Hygienenachweis, amtstierärztlicher Untersuchung des Kochs, drei Durchschlägen des Schnitzels, vier Stempeln auf dem Kochbuch, fünf Unterschriften unter dem Rezept und erfolgter Gebührenentrichtung (6 EUR. Bitte abgezählt bereithalten).

Du willst sicher nicht von mir hören, daß ich das für reichlich naiv halte (oder liegt das eher am Schnaps gg)? Ich bin schon ein paar Jährchen älter und kenne noch die Zeiten als der Radikalenerlass mit den zugehörigen Hausdurchsuchungen bei unbescholtenen Bürgern und die Berufsverbote kamen. Man kann IMHO die Augen nicht davor verschließen, was sich so alles ändert seit jenem bewussten 11.September.

cu, ziegenmelker