[flo]

Zitat

Testhalber bin ich mal mit Firefox eine Seite angesurft, bei der bei IE üblicherweise immer eine Sicherheitswarnung erscheint. Weniger lustig: Firefox meldete sich garnicht und installierte munter etwas.

1. wenn die entsprechende software lieb fragt, dann ja

2. Sicher das der FF was installiert hat? glaube ich nicht!

Welche seite ist das, ich möchte es gerne mal Testen


Deine Frage wurde oben doch schon beantwortet!

Zitat

@Problem, um das es hier eigentlich geht
Wieso wird dann eigentlich die Nachricht eingeblendet, dass der IE versucht das Passwort zu senden? Er versucht es doch garnicht wirklich?!

Woher weißt du das er es nicht versucht?

Wenn auf der webseite ein Code in html eingebunden ist (z.b ein VB script), dann kann der IE nahezu zu allem überredet werden

Dieser Beitrag wurde von Flo01 bearbeitet: 05. April 2005 - 16:52

[G701R]

1. Gut. Ich meine zwar zu verstanden haben, was er/sie sagen will, doch bin ich mir nicht komplett sicher. *g*
2. Welche sind denn die 3 schlimmsten?
3. War irgendeine Crack-Site, die früher mal nicht Dialer- oder Spyware bestückt war. Dies hatte sich aber dann geändert und es wurde später immer versucht ein Trojaner zu installieren (hat AV auch angezeigt). Ich weiß die Adresse nicht mehr, da ich die Seite danach gleich aus meinen Favoriten gelöscht habe. Hätte man aber kein AV oder IE, sondern nur den Firefox gehabt, wärs aber sicher schlecht gewesen.

3. (4.?)
Ja, der IE übermittelt ein PW, wenn ich es irgendwo in einem Loginbereich eingebe oder so, aber doch nicht, wenn ich es z.B. als Internetadresse eingeben würde, oder? Wäre doch quatsch - wo sollte es denn dann hingesandt werden?

[G701R]

Naja, wenn auf einer Seite irgendein Code dazu eingebunden wird, ja..
Aber: Es ist ja garkeine Seite geladen und ich gebe testhalber einfach mein PW als Adresse ein. Schon schlägt ZA Alarm. Da kommt dann höchstens irgendwas mit "Nicht gefunden" - an wen sollte das Passwort da denn gesendet werden? Ist doch quatsch?!

Sorry, bin vielleicht heute etwas von der Rolle, aber ich verstehe das einfach nicht!

[flo]

Zitat

Naja, wenn auf einer Seite irgendein Code dazu eingebunden wird, ja..
Aber: Es ist ja garkeine Seite geladen und ich gebe testhalber einfach mein PW als Adresse ein. Schon schlägt ZA Alarm. Da kommt dann höchstens irgendwas mit "Nicht gefunden" - an wen sollte das Passwort da denn gesendet werden? Ist doch quatsch?!

Sorry, bin vielleicht heute etwas von der Rolle, aber ich verstehe das einfach nicht! biggrin.gif

Steht dieses PW was du Eingibst in dem Tresor von ZA?

Wen ja ist die sache wie folgt:

ZA versucht zu überwachen was der rechner an das I-Net sendet!

wenn nun eine Zeichenfolge genauso ist wie eine Zeichenfolge in dem Tresor von ZA, und die der Zeichenfolge (damit meine ich das PW) zugeordnete I-net seite nicht aufgerufen ist, dann schlägt ZA Alarm weil es die PWs im Tresor ja beschützen soll und nur senden wenn die richtige seite offen ist!

[G701R]

Naja, im "Tresor" müsste es wohl sein, da ich angegeben habe mein eBay-PW zus chützen, als ich ZA installiert hatte (wusste aber nicht um die genaue Fkt. dieses Features).

Naja, gut. Ist ja nicht so wichtig, denn ich weiß ja nun,w arum es ausschlägt.

Sinnlos finde es trotzdem, dass es sich meldet, wenn man das Passowort als Url eingeben will und in kein Textfeld auf irgendeiner aufgerufenen Seite schreibt - bringt doch nichts!

Hm, wie auch immer. Problem ist ja geklärt.
Danke.

Dieser Beitrag wurde von G701R bearbeitet: 05. April 2005 - 18:32

[Urza]

>Sinnlos finde es trotzdem, dass es sich meldet, wenn man das Passowort als Url eingeben will und in kein Textfeld auf irgendeiner aufgerufenen Seite schreibt - bringt doch nichts

man kann urls übrigens auslesen und weiterverarbeiten

[G701R]

Achso! Ok, dann ists wohl doch nicht so sinnlos.

Nur weiß derjenige, der meine Daten ausliest nicht wirklich, was dabei mein PW ist, wenn es vllt. nur in einen größeren String "hereingemischt" ist, oder? *g*

Nunja, ist eigentlich auch egal, wie gesagt.

[Rika]

Zitat

Der IE meldet doch, wenn die Seite versucht irgendetwas zu installieren oder so (dann erscheint ein Fenster mit dem Titel "Sicherheitswarnung").
Testhalber bin ich mal mit Firefox eine Seite angesurft, bei der bei IE üblicherweise immer eine Sicherheitswarnung erscheint. Weniger lustig: Firefox meldete sich garnicht und installierte munter etwas.

Unsinn, er installiert gar nichts. Und vermutlich hat sich der IE sogar nur was auf das Object-Tag eingebildet.

Zitat

aber was da genau unsicher ist sagt niemand.

Soll ich denn noch mehr Exploits posten?

Zitat

2. Welche sind denn die 3 schlimmsten?

Kommt drauf an. NullPointer-Exceptions erlauben direkte Malware-Installation, lassen den IE aber crashen. Spoofing macht Freude. Das Mitschneiden von Tastatureingaben und der Zwischenablage ist wiederum verdammt unauffällig, bringt aber schöne Daten. Die Sache mit Local Script Injection wiederum erfordert ein klein wenig Benutzerinteraktion.

Zitat

und es wurde später immer versucht ein Trojaner zu installieren (hat AV auch angezeigt). Ich weiß die Adresse nicht mehr, da ich die Seite danach gleich aus meinen Favoriten gelöscht habe.

Laangweilig. Die Meldungen über uralte IE-Exploits im Browser seh ich schon gar nicht mehr, im Virenscanner steht 'ne Ausnahmeregel drin. Wen kümmert's denn?

Zitat

Hätte man aber kein AV oder IE, sondern nur den Firefox gehabt, wärs aber sicher schlecht gewesen.

Unsinn.

Zitat

Ja, der IE übermittelt ein PW, wenn ich es irgendwo in einem Loginbereich eingebe oder so, aber doch nicht, wenn ich es z.B. als Internetadresse eingeben würde, oder?

Doch, HTTP ist HTTP. Und wenn dein Passwort so dämlich gewählt ist, daß es z.B. Teil der URL ist, kommt es überall hin. Und wenn es ein gezielter Angriff, wie oben beschrieben, ist, dann ist dein Passwort jetzt Toast.

Zitat

Nur weiß derjenige, der meine Daten ausliest nicht wirklich, was dabei mein PW ist, wenn es vllt. nur in einen größeren String "hereingemischt" ist, oder? *g*

Doch, wenn er den String kennt bzw. selber wählt.

Nochmal:

Wenn du z.B. deinen vierstelligen Kreditkarten-PIN 4678 bei ZA zum Blockieren einstellst, und du kommst auf meine Webseite http://www.evil.com, dann generiere ich dort einfach die Daten

0000
0001
0002
0003
[...]
9999

und schicke sie in meinen Webserver zurück.
Jetzt schaue ich nach, welches Datum in der Reihe fehlt - und schon habe ich deinen PIN. Und zwar genau weil du ihn blockiert hast - hättest du ihn nie zum Blockieren eingeben, hätte ich ihn nie erkannt. Du solltest diese Funktion sofort abschalten!

[shogun03]

das problem dabei ist nur, woher weiss ein möglicher angreifer wo und nach was er suchen muss? wieviele DSL-nutzer gab es z.b. gleich nochmal ?
die wahrscheinlichkeit ist erschreckend gering, das die "blockierten persönlichen daten" die nur auf userinteraktion freigegeben werden können gezielt (durch rikas beschriebene aktionen) in die hände von bösen menschen gelangen können.
sicher ist die integrierte funktion in der ein oder anderen software nur mehr was für DAUs , die regelrechte unterstützungen brauchen um ihre persönlichen daten zusammenhalten zu können, aber dieses verbale gehetzte gegen die funktion halte ich trotzdem nur mehr als panikmache....siehe die "wahrscheinlichkeit eines möglichen missbrauchs" !

[Stan]

Zitat (Rika: 05.04.2005, 23:27)

Wenn du z.B. deinen vierstelligen Kreditkarten-PIN 4678 bei ZA zum Blockieren einstellst, und du kommst auf meine Webseite http://www.evil.com, dann generiere ich dort einfach die Daten

0000
0001
0002
0003
[...]
9999

und schicke sie in meinen Webserver zurück.
Jetzt schaue ich nach, welches Datum in der Reihe fehlt - und schon habe ich deinen PIN. Und zwar genau weil du ihn blockiert hast - hättest du ihn nie zum Blockieren eingeben, hätte ich ihn nie erkannt. Du solltest diese Funktion sofort abschalten!
<{POST_SNAPBACK}>

äh Rika? Du machst deine Seite mit Frontpage?

[NewRaven]

Zitat (.stan: 05.04.2005, 23:50)

äh Rika? Du machst deine Seite mit Frontpage?
<{POST_SNAPBACK}>

ROFL.. ich glaub... nein, ich bin mir ziemlich sicher... er hat evil.com nur als Beispiel genannt *sichgradkichernduntermschreibtischwälz* Trotzdem genial

Dieser Beitrag wurde von NewRaven bearbeitet: 05. April 2005 - 22:59

[shogun03]

Zitat

  <META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
  <META name="GENERATOR" CONTENT="Microsoft FrontPage 6.0">
  <title>Evil.Com - We get it...Daily.</title>

iss ja lustisch....

[Koopatrooper]

Zitat

äh Rika? Du machst deine Seite mit Frontpage?

Ich schätze, er hat aus der Sicht eines potenziellen Hackers gesprochen, um es besser erklären zu können.

Das ist nicht seine Website, ich habe doch Recht, Rika, oder?

Dieser Beitrag wurde von Koopatrooper bearbeitet: 05. April 2005 - 23:01

[Rika]

@shogun03: Muss es doch gar nicht - er muss einfach eine Seite mit etwas Warez und Pr0n ins Netz stellen und wird täglich tausende Besucher haben. Auch muss er nichts wissen, die Webseite übernimmt doch vollautomatisch den Job. Warum nicht gleich einfach alle gültige Kreditkartennummern eines Anbieter generieren und mitsamt der PIN abfangen?

Und wenn die Chance so gering wäre: Warum sollte man die Funktion dann überhaupt nutzen? Ist doch einfach nur potentiell gefährlich. Insbesondere weil sie doch offenbar genau das reine Gegenteil des Beabsichtigten bewirken kann, wo man ohne sogar besser dran ist.

Indes, es gibt noch ein zweites böses Szenario, nämlich den mutwilligen Missbrauch bei physikalischem Zugang. Man kopiere einfach die Datenbank, wo die zu schützenden Daten drinstehen, aus dem System heraus und lese sie später irgendwo aus. Effekt ist der gleiche: Die Daten konnten erst bekannt werden, weil sie eingegeben und gespeichert wurden.

(NPF/NIS ist da übrigens der größte Lacher: Es verschlüsselt die Datenbank zwar, leitet den Schlüssel aber nur vom Benutzernamen ab - man nehme in seinem System einen Account mit dem gleichen Benutzernamen, installierte NPF/NIS, kopiere die Datenbank rein und kann alles im Klartext lesen, ohne irgendwelche Umstände.)

Zitat

äh Rika? Du machst deine Seite mit Frontpage?

Und manche Leute nehmen evil.com auch noch wörtlich...

Dieser Beitrag wurde von Rika bearbeitet: 05. April 2005 - 23:01