Ankündigung

Einklappen
Keine Ankündigung bisher.

Sicherheitslücke oder Fake ?

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Sicherheitslücke oder Fake ?

    Hi Leute,
    kennt Ihr das auch? Man surft auf diversen Seiten und plötzlich taucht auf eng/deu ähnliches auf:

    "Sicherheitslücke entdeckt
    Jeder kann Ihren Festplatteninhalt sehen

    Dies ist Ihr Festplatteninhalt:"

    und dann ist da wirklich ein Fenster in dem der Inhalt von C:\ auftaucht. Man kann auch wie im Explorer durch seine Datein "surfen".

    Dann kommt auch immer noch ein Link wie man dieses "angebliche" Sicherheitsloch schließen kann. Allerdings weiß ich nicht was passiert wenn man dem link folgen würde. Wahrscheinlich installiert sich dann ein Dialer oder sonst was.

    Nun meine Frage, ist es ein echtes Sicherheitsloch, oder ist dies nur ein Fake indem man irgendwie ein Applet in die HTML Seite einbaut, dass C:\ des jeweiligen Rechners angezeigt wird ?

    Ich verzichte darauf einen Beispiellink zu posten, da ich da ich nicht weiß ob es echt ist.
    Man muss die Vergangenheit kennen, um die Gegenwart zu begreifen.
    Mit dem ersten Glied ist die Kette geschmiedet. Wenn die erste Rede zensiert, der erste Gedanke verboten, die erste Freiheit verweigert wird, dann sind wir alle unwiderruflich gefesselt.
    http://www.StarTrekClan-STC.de der Clan für Star Trek Fans.

  • #2
    Ist ein fake. Es handelt sich um eine I-Frame der nur auf deínem Rechner deine Festplatteninhalt sichtbar macht. Also keine Sorge. Man kann deinen Festplatteninhalt nicht sehen.

    der Eine

    Kommentar


    • #3
      Hab ich mir schon fast gedacht, wollte nur sicher gehen, dass es wirklich so ist. Danke

      Wahrscheinlich kommt man dann wenn man dem Link folgt zu einem Trojaner oder einem Dialer. Bestimmt fallen viele darauf rein weil sie ja nicht wollen das jemand ihren festplatteninhalt lesen kann.
      Man muss die Vergangenheit kennen, um die Gegenwart zu begreifen.
      Mit dem ersten Glied ist die Kette geschmiedet. Wenn die erste Rede zensiert, der erste Gedanke verboten, die erste Freiheit verweigert wird, dann sind wir alle unwiderruflich gefesselt.
      http://www.StarTrekClan-STC.de der Clan für Star Trek Fans.

      Kommentar


      • #4
        Das ist ein Fake. Sowas kann man leicht per Script machen...

        http://cm-e.de/c.htm

        Kommentar


        • #5
          Naja so wie Du es gemacht hast ist es ja ziemlich auffälig. Die meisten im Netz machen es so das sie das Fenster mit "Deinem Festplatteninhalt" in ihrer Page mit einbauen. Also denken Laien der kann meine Fetsplatte sehen sie ist ja auf seiner Page.
          Man muss die Vergangenheit kennen, um die Gegenwart zu begreifen.
          Mit dem ersten Glied ist die Kette geschmiedet. Wenn die erste Rede zensiert, der erste Gedanke verboten, die erste Freiheit verweigert wird, dann sind wir alle unwiderruflich gefesselt.
          http://www.StarTrekClan-STC.de der Clan für Star Trek Fans.

          Kommentar


          • #6
            also zur erklärung:
            viele glauben, explorer und iexplorer wären 2 verschiedene sachen. falsch gedacht.
            das programm explorer und das programm iexplorer sind komplett identisch. nicht nur identisch. es beide programme sind ein und das selbe. nur die execs sind verschieden.

            demnach kann man im explorer xml-docs öffnen, wie auch mit dem iexplorer verzeichnisse.

            allerdings ist ein kleiner hacken bei der sache. hat man die explorer-exec aufgerufen, so wird dies gespeichert. versucht man ein xml-doc aufzurufen, so wird ein weiteres fenster aufgerufen.

            nun, wer jetzt glaubt, dass umgekehrt, wenn ich ein verzeichniss im aufgerufenen iexplorer öffne, sich ein weiteres fenster welches sich als explorer ausgibt, öffnet, so hat dieser sich geschnitten.
            dies ist nähmlich nicht so. ein explorer-fenster mit der iexplorer-exec aufgerufen, öffnet verzeichnisse im eigenen fenster, so lange nichts anderes angegeben wurde.
            daher ist dies kein sicherheitsloch. es ist ein fake.

            übrigens ist soetwas mit einem java-applet nicht möglich zu realisieren, da java sicherheit großschreibt. java-appleten können nicht auf private daten zugreifen.


            allerdings gibt es tatsächlich die möglichkeit aus dem internet auf die lokalen daten zugreifen zukönnen, nähmlich mit activeX. wie jeder vermuten kann, ist dies ein versuch m$s. dazu gehört somit auch jscript (eine scriptsprache, die wie javascript aussieht und auch kompatibel ist, aber eigene sicherheitsbedenkliche elemente beinhaltet) und vbscript (vb ähnliche scriptsprache mit den selben elementen wie jscript).
            Das mir mein Hund viel lieber sei; Sagst du, oh Mensch, sei Sünde. Doch mein Hund bleibt mir im Sturme treu; Der Mensch nicht mal im Winde.
            Die technischen Fortschritte und menschlichen Rückschritte des STFs.

            Kommentar


            • #7
              Aktive-X ist nur so sicher wie derjenige der gerade vorm Rechner sitzt wer ein Aktive-X Programm das nicht Signiert ist und von einer Unbekanten Seite stammt Installiert und dann deswegen was passiert ist selber schuld.

              Und lass den Quatsch immer mit JAVA ist so Sicher und nie kann da was passieren oder so, alles nur dummes Geschwätz.
              "...To boldly go where no man has gone before."
              ...BASED UPON "STARTREK" CREATED BY GENE RODDENBERRY...

              Kommentar


              • #8
                wie man sieht, lebst du noch.

                übrigens ist es tatsächlich so. java hat höchstens ein sicherheitsloch, ein kleines mal.

                activeX ist ein sicherheitsloch in sich. es kann mit allem überbrückt werden.
                Das mir mein Hund viel lieber sei; Sagst du, oh Mensch, sei Sünde. Doch mein Hund bleibt mir im Sturme treu; Der Mensch nicht mal im Winde.
                Die technischen Fortschritte und menschlichen Rückschritte des STFs.

                Kommentar


                • #9
                  Original geschrieben von deac
                  wie man sieht, lebst du noch.
                  Natürlich Ich habe gerade nur ziemlich stress wegen Umzugsvorbereitungen.

                  Ich habe nie Probleme gehabt mit Aktive-X und kenne auch keinen der das hatte, Ich treibe mich aber auch nicht auf solche Illegalen Seiten rum und so wo sowieso vieles nicht mit Rechten dingen vor sich geht.
                  "...To boldly go where no man has gone before."
                  ...BASED UPON "STARTREK" CREATED BY GENE RODDENBERRY...

                  Kommentar


                  • #10
                    Mit Java kann man mindestens genausoviel hinmachen wie mit ActiveX..

                    und bei ActiveX wird wenigstens gefragt ob es ausgeführt werden soll oder nicht. wer das macht ist selber schuld, aber dadurch, dass man mehr zugriffe kriegt, ist auch mehr realisierbar. viel mehr!

                    MFG UNI
                    http://users.idf.de/~fs/bart.gif

                    Kommentar


                    • #11
                      nein java lässt keine zugriffe auf das dateisystem zu.
                      Das mir mein Hund viel lieber sei; Sagst du, oh Mensch, sei Sünde. Doch mein Hund bleibt mir im Sturme treu; Der Mensch nicht mal im Winde.
                      Die technischen Fortschritte und menschlichen Rückschritte des STFs.

                      Kommentar


                      • #12
                        i know.. da hast du recht... nur dass dadurch mir auch ein breites spektrum an möglichkeiten für ne web-applikation genommen werden..

                        z.B. ein file sharing über den browser usw.. funzt dann schon nit mehr..

                        MFG UNI
                        http://users.idf.de/~fs/bart.gif

                        Kommentar


                        • #13
                          zu Java:
                          Java Pur läuft nur auf dem Runtime-Modul.
                          Java-Applets laufen in der "sandbox" also Browser.
                          JavaScript wird vom Browser interpretiert.

                          zu ActiveX aka COM.
                          Jedes Windoofs System besteht zu 90% aus COM-Komponenten.
                          Der I-Explorer ist nichts anderes als eine Ansammlung von COM-Objekten. So, hat man nun ActiveX aktiviert und vertraut jedem Müll, ist es möglich JEDE WINDOWS FUNCTION zu Starten. Also NICHT ActiveX ist die Schwachstelle, nur der User.
                          __________________________________________________

                          COM ist cool.

                          Kommentar


                          • #14
                            bei java sind das die klassen. ist dadurch eine sicherheitslücke?

                            übrigens ist filesharing über den browser trotzdem kein problem. man müsste einfach ein kleine server-klasse auf dem rechner aufspielen und starten. diese läuft im hintergrund und erlaub dann den zugriff.
                            die installierung übernimmt der user, dass kann java nicht, da es nicht in der lage ist zu installieren.
                            es muss auch nicht eine server-klasse sein, sondern auch eine server-exec.
                            diese übernimmt nur den zugriff auf das dateisystem. sie lässt sich mit sicherheitsabfragen und passwörtern schützen.
                            Das mir mein Hund viel lieber sei; Sagst du, oh Mensch, sei Sünde. Doch mein Hund bleibt mir im Sturme treu; Der Mensch nicht mal im Winde.
                            Die technischen Fortschritte und menschlichen Rückschritte des STFs.

                            Kommentar


                            • #15
                              Die Klassen in Java sind, wenn ich mich recht Entsinne, vorcompilierte Bibliotheken. Eh alles OOP bei Java. Sicherheitslöcher sind mir nur von JavaScript bekannt.

                              Naja, man kann auch einfacher Files Sharen.
                              Ein ftp-server reicht völlig aus.

                              Kommentar

                              Lädt...
                              X