nicht angemeldet
wie gut ist diese Sperre
0 0 0 
MudGuard
2 0 wie gut ist diese Sperre - beendet!
wie gut ist diese Sperre
Hallo,
hier existiert eine Highscore-Liste wo sich jeder eintragen koennte,
waere da nicht ein kleiner Haken dabei. Wenn hinreichende Fehlversuche
auftreten, kann die Methode gerne hier besprochen werden.
Schaun mer mal, wer's schafft ... ;)
Gruss und Dank
Norbert
-
Moin!
hier existiert eine Highscore-Liste wo sich jeder eintragen koennte,
waere da nicht ein kleiner Haken dabei. Wenn hinreichende Fehlversuche
auftreten, kann die Methode gerne hier besprochen werden.Hältst du diese Art von Blackbox-Testing für zielführend?
- Sven Rautenberg
--
"Love your nation - respect the others."-
Hallo Sven,
Hältst du diese Art von Blackbox-Testing für zielführend?
mit Sicherheit jain ... :-(
Eigentlich wollte ich ja eine Praemie ausloben, aber der Provider will
den FTP-Zugang nicht canceln, und dann ist es ein Kinderspiel sich den
notwendigen Quellcode zu besorgen.Aber anders herum gesehen, macht keine Firma einen Informationsrundgang
durch ihre Sicherheitseinrichtungen, d.h. wenn Prinzipien vorher offengelegt
werden, ist es keine Kunst mehr.Aber sachlichen Argumenten stehe ich immer aufgeschlossen gegenueber.
Wobei ich unter sachlich etwas nachvollziehbares verstehe, keine Polemik.Gruss und Dank
Norbert-
Moin!
Hältst du diese Art von Blackbox-Testing für zielführend?
mit Sicherheit jain ... :-(Das heißt jetzt was genau?
Eigentlich wollte ich ja eine Praemie ausloben, aber der Provider will
den FTP-Zugang nicht canceln, und dann ist es ein Kinderspiel sich den
notwendigen Quellcode zu besorgen.Du meinst: Das Formulieren zutreffender Requests auf eine passende URL wäre zu einfach.
Nun ja: Wenn es irgendeinen legitimen Mechanismus gibt, der in diese ominöse Highscore-Liste gültige Einträge vornimmt, dann kann man den, sofern man ihn belauschen kann, auch nachahmen.
Ohne Mechanismus keine Highscores.
Und noch was: Ohne dargestellte Highscoreliste auch kein Highscore.
Wer sagt uns denn, dass du nicht einfach dieses Skript hinterlegt hast:
<?php header('Location: http://www.google.de'); ?>Aber anders herum gesehen, macht keine Firma einen Informationsrundgang
durch ihre Sicherheitseinrichtungen, d.h. wenn Prinzipien vorher offengelegt
werden, ist es keine Kunst mehr.Im Gegenteil: Wenn TROTZ Kenntnis der Prinzipen ein Angriff nicht möglich ist, ist das Prinzip gut.
Aber sachlichen Argumenten stehe ich immer aufgeschlossen gegenueber.
Wobei ich unter sachlich etwas nachvollziehbares verstehe, keine Polemik.Das Problem ist, dass du keinerlei Anreiz und Ansatzpunkt bietest, warum man sich mit diesem Problem befassen sollte. Weder ist irgendwo der derzeit Führende zu sehen, noch ist mit der Beschäftigung irgendein positiver Gewinn verbunden. Die investierte Zeit ist also sinnlos verbraten. Da beschäftige ich mich doch lieber mit den Möglichkeiten von Browsergamesprogrammierung, der Thread ist entschieden produktiver und gibt auch deutlich mehr positives Feedback.
- Sven Rautenberg
--
"Love your nation - respect the others."-
Grüße,
blöde frage aber - kann man ein browser dazu bringen header zu ignorieren?
MFG
bleicher--
__________________________-
Menschen an sich , sind nicht schlecht - es sind nur ihre Taten (c).
Lieber bereuen gesündigt zu haben, als nicht sündigen und es später trotzdem bereuen.
Boccaccio-
Hallo bleicher,
blöde frage aber - kann man ein browser dazu bringen header zu ignorieren?
Theoretisch sicher, aber wenn der Webserver beim Aufruf einer Url nach google.de redirected, dann sendet der Webserver ja nicht noch zusätzlich irgendeinen Inhalt. Das ignorieren des Headers führt dann bestenfalls zu keiner Aktion.
Jonathan
-
-
Hallo Sven,
Hältst du diese Art von Blackbox-Testing für zielführend?
mit Sicherheit jain ... :-(
Das heißt jetzt was genau?Das mir leider keine Variante bekannt ist, sicherheitstechnische Methoden
auszuprobieren und zu besprechen, so dass jeder etwas davon haette.
Wahrscheinlich darf man das auch gar nicht und es faellt unter die
selbst auferlegte Zensur, zumindestens wird jeder Thread sofort abgewuergt.Ohne Mechanismus keine Highscores.
stimmt
Und noch was: Ohne dargestellte Highscoreliste auch kein Highscore.
stimmt auch: dargestellte Highscoreliste
Wenn TROTZ Kenntnis der Prinzipen ein Angriff nicht möglich ist, ist das Prinzip gut.
kann man so nicht sagen,
denn in diesem Falle hat man nur den Aufwand zu Entschluesselung so hoch getrieben, dass es nur noch Grossrechnerfarmen schaffen wuerden und die passen nicht in mein Haus. D.h. der normale Menasch wurde finanziell ausgegrenzt, doofe Sicherheit. Und Firmen, die eigene Konzepte entwickeln wollen, werden, wie man in der Presse (iX oder ct Jhrg.2000) nachlesen konnte, massiv bedroht, eine Entschluesselungmoeglichkeit an eine amerikanische Instituition auszuliefern, so dass dem schweizer CEO nur die Firmenaufloesung uebrig blieb, wenn er das Leben seiner Mitarbeiter nicht gefaehrden wollte. Und heute hat BigBrother Verschluesselungen als Waffe eingeordnet, die darf man also eigentlich gar nicht haben tun, darf man die nicht, wohl ... ;-)Gruss Norbert
-
Moin!
Hältst du diese Art von Blackbox-Testing für zielführend?
mit Sicherheit jain ... :-(
Das heißt jetzt was genau?Das mir leider keine Variante bekannt ist, sicherheitstechnische Methoden
auszuprobieren und zu besprechen, so dass jeder etwas davon haette.Wie wäre es denn, wenn du einfach mal Quelltext offenlegst?
Wahrscheinlich darf man das auch gar nicht und es faellt unter die
selbst auferlegte Zensur, zumindestens wird jeder Thread sofort abgewuergt.Hier? Mit Sicherheit nicht.
Wenn TROTZ Kenntnis der Prinzipen ein Angriff nicht möglich ist, ist das Prinzip gut.
kann man so nicht sagen,Ich verweise mal auf PGP bzw. GnuPG. Da ist der Quelltext offen, trotzdem ist diese Verschlüsselung nicht zu knacken.
denn in diesem Falle hat man nur den Aufwand zu Entschluesselung so hoch getrieben, dass es nur noch Grossrechnerfarmen schaffen wuerden
Nein, noch schlimmer: Man müßte länger dran rechnen, als es das Universum bislang schon gibt, und es ist ungewiß, ob es noch genügend lange lebt, um fertig zu werden - abgesehen vom Energie- und Materialaufwand (Stückzahl der Atome), den unsere Erde oder unser Sonnensystem wohl nicht leisten kann, selbst bei perfekter Effizienz nicht.
Und Firmen, die eigene Konzepte entwickeln wollen, werden, wie man in der Presse (iX oder ct Jhrg.2000) nachlesen konnte, massiv bedroht, eine Entschluesselungmoeglichkeit an eine amerikanische Instituition auszuliefern, so dass dem schweizer CEO nur die Firmenaufloesung uebrig blieb, wenn er das Leben seiner Mitarbeiter nicht gefaehrden wollte.
Da würde mich eine Quelle doch sehr interessieren. Weil's eigentlich gar keinen Sinn ergibt, einen neuen Verschlüsselungsmechanismus zu bedrohen, wenn es schon lange sichere Verschlüsselungen gibt.
Und heute hat BigBrother Verschluesselungen als Waffe eingeordnet, die darf man also eigentlich gar nicht haben tun, darf man die nicht, wohl ... ;-)
Du vermischst aber Dinge schon ganz gehörig... Ich dachte, hier im Thread sollte keine Polemik rein?
- Sven Rautenberg
--
"Love your nation - respect the others."-
Hallo Sven,
Ich verweise mal auf PGP bzw. GnuPG.
Da ist der Quelltext offen, trotzdem ist diese Verschlüsselung nicht zu knacken.lol,
okay, fuer Dich und mich nicht, das ist richtig aber total uninteressant.Goggle doch mal nach NSA und USA.
Anschliessend darfst Du Deine Vortraege ueberaerbeiten ... :-(Du vermischst aber Dinge schon ganz gehörig...
Ich dachte, hier im Thread sollte keine Polemik rein?stimmt,
es tut mir auch sehr leid, aber ich bin als Choleriker auf die Welt gekommen.Gruss Norbert
-
Moin!
Ich verweise mal auf PGP bzw. GnuPG.
Da ist der Quelltext offen, trotzdem ist diese Verschlüsselung nicht zu knacken.
lol,
okay, fuer Dich und mich nicht, das ist richtig aber total uninteressant.Goggle doch mal nach NSA und USA.
Anschliessend darfst Du Deine Vortraege ueberaerbeiten ... :-(Es gibt vielleicht nicht viele Kryptoexperten auf der Welt, aber sicher dürfte sein, dass die sich nicht alle in den USA befinden, sondern auch in anderen Teilen der Welt. Und mit Sicherheit ist auch eine Teilmenge durchaus als "unabhängig" zu bezeichnen, ich hielte es für eher unwahrscheinlich, dass die USA die alle irgendwie kaufen oder einschüchtern kann.
Außerdem entstammen die Grundlagen heutiger Kryptographie einer Zeit, als der jetzt festzustellende Terror- und Überwachungswahn noch gar nicht existent war. Die Algorithmen dürften von daher durchaus als vertrauenswürdig betrachtet werden.
Glaubst du also wirklich, die Entdeckung einer möglichen Unsicherheit würde auf ewig geheimhaltbar sein, wenn es sie denn überhaupt gäbe?
Klingt sehr nach paranoider Hysterie bei dir, insbesondere dein unspezifischer Google-Link.
- Sven Rautenberg
--
"Love your nation - respect the others."-
Hallo Sven,
Goggle doch mal nach NSA und USA.
Glaubst du also wirklich, die Entdeckung einer möglichen Unsicherheit würde
auf ewig geheimhaltbar sein, wenn es sie denn überhaupt gäbe?wieso geheim?
Laut Presse wurde von einem Niederlaender in Win95 ein NSA-Backdor gefunden.
Das wird seitdem mitgeschleift und ist die Grundlage der "Onlinedurchsuchung".
Oder hoffst Du dass sich NSA und Schaeuble auf die Bugs in der MFC verlassen?Klingt sehr nach paranoider Hysterie bei dir,
insbesondere dein unspezifischer Google-Link.wieso unspezifisch?
In der Liste ist fast jeder Link eine Katastrophe ...
Besonders jedoch Nummer 7. Und die Meldung ist nicht mal neu, siehe oben.Gruss Norbert
-
Moin!
Goggle doch mal nach NSA und USA.
Glaubst du also wirklich, die Entdeckung einer möglichen Unsicherheit würde
auf ewig geheimhaltbar sein, wenn es sie denn überhaupt gäbe?
wieso geheim?
Laut Presse wurde von einem Niederlaender in Win95 ein NSA-Backdor gefunden.Es wäre der Diskussion förderlich, wenn du da mal etwas spezifischere Quellen angeben könntest als nur "das Internet". Dann sind nämlich alle Teilnehmer auf dem gleichen Stand, wie du.
Abgesehen davon wurde in Win95 keine Backdoor gefunden, sondern nur ein String, in dem "NSA" enthalten war.
Das wird seitdem mitgeschleift und ist die Grundlage der "Onlinedurchsuchung".
Oder hoffst Du dass sich NSA und Schaeuble auf die Bugs in der MFC verlassen?An diesem Punkt wird deine Paranoia deutlich: Du kombinierst zwei "Erzfeinde", die in dieser Form nie zusammenarbeiten würden. Denn glaubst du wirklich, dass die NSA oder die US-Geheimdienste und -Behörden insgesamt, sollte sie tatsächlich über eine dauerhaft und ständig nutzbare Backdoor zu WIndows verfügen, das ihrem Wirtschaftskonkurrenten Deutschland einfach so zur Verfügung stellen würden? Und damit dieses Geheimnis unkontrollierbar aus der Hand geben?
Klingt sehr nach paranoider Hysterie bei dir,
insbesondere dein unspezifischer Google-Link.
wieso unspezifisch?
In der Liste ist fast jeder Link eine Katastrophe ...
Besonders jedoch Nummer 7. Und die Meldung ist nicht mal neu, siehe oben.Sorry, aber mit Positionsangaben in Google-Fundergebnissen ist das immer so eine Sache: Mein benutzter Google-Server ist nicht dein benutzter Google-Server, und die dynamischen Suchergebnisse ändern sich auch sonst dann und wann mal. Link doch einfach auf das von Google gefundene Ziel, dann ist jegliche Mißverständlichkeit ausgeschlossen.
- Sven Rautenberg
--
"Love your nation - respect the others."-
Hallo Sven,
Abgesehen davon wurde in Win95 keine Backdoor gefunden, sondern nur ein String, in dem "NSA" enthalten war.
Ohne jetzt die genaueren Hintergründe zu kennen:
Die Wahrscheinlichkeit, dass ein 3-Stelliger String "NSA" enthält ist 1/255³=1/16581375. Heißt, das statistisch gesehen alle 16MB in einem String zufälligerweise "NSA" vorkommen dürfte, ohne Berücksichtigung, dass wahrscheinlich normale Buchstaben häufiger vorkommen, als irgendwelche binären Steuerzeichen.
Rein statistisch, sehe ich da also kein Problem.
Im übrigen würde der NSA-Traffic, der die Sicherheitslücken ausnutzt doch garantiert irgendwelchen (nicht-windows-basierten) Hardware-Firewalls auffallen.
Jonathan
-
-
-
-
-
-
-
-
-
-
Hallo,
Dein Link führt mich zu Google. Was soll das?
Gruß, Don P
-
Hi,
Dein Link führt mich zu Google.
Das ist eine Weiterleitung.
Hier die HTTP-Header:http://www.uris.de/test/geheim/highscore.php
GET /test/geheim/highscore.php HTTP/1.1
Host: www.uris.de
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.9) Gecko/20071025 Firefox/2.0.0.9
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://forum.de.selfhtml.org/my/?t=162415&m=1056882HTTP/1.x 302 Found
Date: Fri, 23 Nov 2007 15:35:45 GMT
Server: Apache
X-Powered-By: PHP/4.4.6-pl0-gentoo
Location: http://www.google.de/
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=ISO-8859-1Was soll das?
Keine Ahnung, frag Norbert. (Ach so, das hast Du ja ...)
cu,
Andreas--
Warum nennt sich Andreas hier MudGuard?
O o ostern ...
Fachfragen unaufgefordert per E-Mail halte ich für unverschämt und werde entsprechende E-Mails nicht beantworten. Für Fachfragen ist das Forum da.
-
Hallo,
Dein Link führt mich zu Google.
richtig,
wer keine Berechtigung hat, landet bei Google ...Nur wer berechtigt ist, oder sich eine Berechtigung "erschlichen"
hat, kann sich in der Liste eintragen.
Das ist ja der Sinn der Sache: Wie gut sind Hacker wirklich?Gruss und Dank
Norbert-
Moin!
Dein Link führt mich zu Google.
richtig,
wer keine Berechtigung hat, landet bei Google ...Nur wer berechtigt ist, oder sich eine Berechtigung "erschlichen"
hat, kann sich in der Liste eintragen.
Das ist ja der Sinn der Sache: Wie gut sind Hacker wirklich?Entweder hast du einen ganz schlechten Mechanismus gebaut, bei dem man blackboxartig was erraten kann. Dann kriegst du "schlechte" Hacker dazu animiert, deine Aufgabe zu lösen und weißt, dass ein schlechtes System zu knacken ist.
Wenn du ein sehr gutes System hast, wird kein schlechter Hacker es knacken, und die guten Hacker verdienen lieber mit gut bezahltem Consulting ihre Brötchen, anstatt bei dir kosten- und nutzlos ihr Können zu zeigen.
Durch deinen "Test" erfährst du also gar nichts.
- Sven Rautenberg
--
"Love your nation - respect the others."-
Hallo Sven,
Durch deinen "Test" erfährst du also gar nichts.
okay,
Testende!Gruss Norbert
-
-
-
-
-
Hallo Norbert,
Natürlich kann man so ein Script praktisch nicht hacken ohne irgend etwas darüber zu wissen. Also z.B. welche Parameter es überhaupt gibt, ob da irgendwo ein Passwort übertragen wird etc.
Sonst könnte man ja nur die Parameter, die man an das Script schickt, willkürlich durchprobieren. Sehr unwahrscheinlich, die richtigen zu treffen, selbst wenn das Script an sich gar nichts taugt.
Wenn Dein System ansonsten sicher ist (also man nicht irgendeine andere Komponente angreifen kann, sei es der PHP-Interpreter, der Webserver oder das Betriebssystem selbst oder irgend ein anderer Dienst, der auf der Kiste noch läuft, hat man also erstmal keine Chance.Kritisch wird es allerdings dann, wenn jemand tatsächlich Deinen Dienst benutzt. Dann kann man Verbindungsdaten mitschneiden oder einfach nur in die Browser-History gucken, was ein Benutzer, der weiß, wie man das aufrufen muss, gemacht hat. Evtl. kann man die Information auch einfach von jemandem bekommen, der das benutzen darf.
So bald man dann ein minimales Wissen hat, erweist sich, wie sicher Dein Authentifizierungsmechanismus wirklich ist.Ein Authentifizierungsmechanismus, den keiner benutzt, sicher zu gestalten, ist kein Kunststück. Selbst das oft angewendete http://example.com/geheimerpfad/wichtigedaten.html ist sicher, so lang "geheimerpfad" einfach auf keine Weise in Erfahrung zu bringen ist und nichtmal jemand weiß, dass es da einen solchen gibt (so bald man es weiß, kann man wenigstens mal versuchen, ein Wörterbuch durchzuprobieren).
Die Methode mit dem Pfad ist aber nicht besonders schlau, weil die Gefahr, dass die Information irgendwo öffentlich wird, sehr groß ist. Spätestens sobald irgendwer diese Seite auch aufruft.Grüße
Daniel
-
Hallo,
eigentlich wollte ich interessierte Leute zu einem Wettstreit herausfordern,
also nicht im Labern sondern in Aktionen, denn wohin Labern fuehrt zeigt dieser Thread.
Es haben sich nur Leute mit Vorurteilen gemeldet, wie man hier und im Logfile sehen kann.
Darum erklaere ich den Versuch fuer offiziell beendet!
Den Ordner selbst lasse ich stehen.hier existiert eine Highscore-Liste wo sich jeder eintragen koennte,
waere da nicht ein kleiner Haken dabei.Gruss und Dank
Norbert-
Moin!
eigentlich wollte ich interessierte Leute zu einem Wettstreit herausfordern,
Dein Wettstreit hat die Qualität von "Lass uns Zahlenraten spielen: Du rätst eine Zahl und ich sage dir mit ja oder nein, ob sie stimmt".
Was der Ratespieler dabei nicht weiß: Der Zahlenraum geht von 1 bis 10^99.
Es haben sich nur Leute mit Vorurteilen gemeldet, wie man hier und im Logfile sehen kann.
Darum erklaere ich den Versuch fuer offiziell beendet!Gott sei Dank! Endlich können wir wieder normal weiterleben, ohne dass man uns Untätigkeit bei der Lösung dieses dringenden Menschheitsproblems vorwerfen könnte.
- Sven Rautenberg
--
"Love your nation - respect the others."
-