Sicherheit
bleicher
- projektverwaltung
0 Felix Riesterer0 bleicher
Grüße,
In den Tiefen des Internets, exestiert ein Webportal, der Menschen helfen soll, Bücher zu leihen.
Ich sage lieber nicht welcher, um zu den anderen Portalen, denen genau das gleiche passieren könnte, nicht ungerecht zu sein.
Die Story fängt mit einer Registrierung an, die man persönlich (im Sinne von "hingehen") zu tätigen hat. Die möglichen Adressenänderungen hat man natürlich sofort und unverzüglich mitzuteilen.
Nun wurde ich aber auf den Button "Adresse ändern", gleich unter den mit der aktuellen Adresse vorbelegten Feldern, aufmerksam.
Na das ist toll - man muss wohl nicht noch einmal hin - ich ändere meine Adresse online!
Schön wäre es. Die Formularfelder waren auf "readonly" gesetzt. WTF? dachte ich mir - wenn ich den Formular mit "Adresse ändern"-absenden kann, soll er doch funktionieren.
Also öffnete ich den Quelltext, "korriegierte" den, und nutzte Operas Fähigkeit "Änderungen anwenden" - was mir effektiv ermöglichte die Seite "on thy fly" zu ändern.
Neue Adresse rein, abschicken - fertig. Und siehe da - die Änderungen wurden tatsächlich Angenommen. Serverseitige Hindernisse gab es nicht.
der rest der geschichte ist eher privater natur^^
MFG
bleicher
Lieber bleicher,
exestiert ein Webportal
"existiert"
Ich sage lieber nicht welcher
_das_ Webportal, das Portal
Nun wurde ich aber auf den Button "Adresse ändern", gleich unter den mit der aktuellen Adresse vorbelegten Feldern, aufmerksam.
Na das ist toll - man muss wohl nicht noch einmal hin - ich ändere meine Adresse online!
Gleich zwei korrekte Sätze? Du übertriffst Dich selbst! Ich freue mich für Dich!
wenn ich den Formular mit "Adresse ändern"-absenden kann, soll er doch funktionieren.
_das_ Formular
"korriegierte"
"korrigierte"
Ich finde, dass die sprachliche Qualität Deiner Postings zunimmt. Das freut mich ehrlich! Denn Deine fachliche Kompetenz ist Deine wachsende sprachliche Kompetenz mindestens wert!
Ach ja, hattest Du eine Frage?
Liebe Grüße,
Felix Riesterer.
Grüße,
Ach ja, hattest Du eine Frage?
Eher eine Feststellung - ein riesiges, staatliches (glaube ich zumindest, was heutzutage alles staatlich, was privat sein soll...) Webportal lässt sich mittels einfacher Textkorrektur stören - die Folgen der Änderung die ich dürchführte, waren bemerkbar - des Server sperrte den Account, da eine benutzerseitige Datenänderung wohl doch nicht vorgesehen war.
Manche stellen Fragen zu "Passwortschutz mittels JS" und werden sogleich zusammengeschissen. Ich finde nicht, dass die beschrieben "Lösung" viel besser sei.
Ah ja - nun kann ich es mir leisten, für die Posts bis zu 2 Minuten aufzubrauchen - als Student verplempere ich hier nicht die Frei-, sondern Studienzeit.
Die Artikeln zu lernen habe ich allerdings versäumt - und Nachlernen war doch aufwendiger als ich anfangs dachte ;(
Und das mit "exisitieren" sollte ich eigentlich schon gemerkt haben, so oft wie ich darauf hingewiesen wurde ;/
MFG
bleicher
des Server sperrte den Account, da eine benutzerseitige Datenänderung wohl doch nicht vorgesehen war.
Dann passt die Sicherheit doch. Offensichtlich wurde deine Manipulation vom System erkannt.
Mich würde es nicht wundern, wenn du dafür Post vom Staatsanwalt bekommst, da du dich offensichtlich strafbar gemacht hast und es hier auch noch offen breittrittst.
Du manipulierst ein Formular und änderst Daten, die dafür nicht vorgesehen sind. Und das Ganze nicht über einen Fehler der Software sondern über eine bewusste Manipulation des Quelltextes die einen Eingriff in die fremde Datenbank ermöglichen soll, der dir nicht erlaubt ist.
Irgendwie frag ich mich grad, wo die Grenzer von der naivität zur Dummheit verläuft ...
Grüße,
Mich würde es nicht wundern, wenn du dafür Post vom Staatsanwalt bekommst, da du dich offensichtlich strafbar gemacht hast und es hier auch noch offen breittrittst.
Du manipulierst ein Formular und änderst Daten, die dafür nicht vorgesehen sind. Und das Ganze nicht über einen Fehler der Software sondern über eine bewusste Manipulation des Quelltextes die einen Eingriff in die fremde Datenbank ermöglichen soll, der dir nicht erlaubt ist.Irgendwie frag ich mich grad, wo die Grenzer von der naivität zur Dummheit verläuft ...
manipuliert? formular ausgefüllt? das ist "vorgesehen" manipulation - eine tür die weder geschlossen noch ein warnschild hat zu öffnen ist legal :) für folgeschäden haftet eigentümer.
MFG
bleicher
eine tür die weder geschlossen noch ein warnschild hat zu öffnen ist legal :) für folgeschäden haftet eigentümer.
Auf meiner Haustür ist kein Schild "Betreten verboten" und wenn ich zuhause bin, ist diese nicht abgeschlossen.
Wenn du jetzt glaubst, es ist erlaubt, dass du ungefragt meine Wohnung betrittst, solltest du mal jemanden dazu vbefragen, der sich auskennt (oder auch nur jemanden, der halbwegs denken kann).
Abgesehen davon ist die Deaktivierung der Formularfelder dich ein recht deutlicher Hinweis, dass der Betreiber keine Änderung wünscht. Deun Unrechtsbewusstsein ist offensichtlich so gering, dass du solche WEÜnsche bewusst ignorierst, ja sogar behauptest, du darfst jede Wohnung und jedes Gebäude betreten, nur weil die Tür nicht abgeschlossen ist.
Das ist nicht nur naiv, das ist dumm.
Guten Tag,
Manche stellen Fragen zu "Passwortschutz mittels JS" und werden sogleich
zusammengeschissen. Ich finde nicht, dass die beschrieben "Lösung" viel
besser sei.
Ist sie auch nicht. Die Existenz einer schlechten Lösung bedeutet nicht, dass alle anderen Lösungen automatisch gut sind.
Gruß
Christoph Jeschke