Hilfe
Neues Thema
Antworten
Jetzt mche ich mir eine virtuell Maschine auf, installiere den Wurm dort und beteilige mich an der Aktion. Wenn sich jemand beschwert, hab ich dann schlißelich 'ne Ausrede - zugleich brauche ich aber nicht um meine Daten zu fürchten.
Achtung - Sicherheit !
#9
Rika 
- Gruppe: aktive Mitglieder
- Beiträge: 11.505
- Beigetreten: 11. Juni 03
- Reputation: 2
- Geschlecht:Männlich
geschrieben 27. Januar 2004 - 14:42
Juhu...
Jetzt mche ich mir eine virtuell Maschine auf, installiere den Wurm dort und beteilige mich an der Aktion. Wenn sich jemand beschwert, hab ich dann schlißelich 'ne Ausrede - zugleich brauche ich aber nicht um meine Daten zu fürchten.
Jetzt mche ich mir eine virtuell Maschine auf, installiere den Wurm dort und beteilige mich an der Aktion. Wenn sich jemand beschwert, hab ich dann schlißelich 'ne Ausrede - zugleich brauche ich aber nicht um meine Daten zu fürchten.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Nach oben
#10
reiner
- Gruppe: aktive Mitglieder
- Beiträge: 485
- Beigetreten: 10. November 03
- Reputation: 0
- Wohnort:Magdeburg
geschrieben 28. Januar 2004 - 11:49
Heise.de Meldung vom 28.01.2004 11:09
http://www.heise.de/...k-28.01.04-001/
Microsoft kündigt Fix für URL-Spoofing an
=========================================
In einem Knowledgebase-Artikel weist Microsoft Web-Entwickler und Site-Betreiber darauf hin, dass der Konzern demnächst einen Fix für die so genannte URL-Spoofing-Lücke herausbringen will. Dadurch verändert sich das Verhalten des Internet Explorer bei entsprechend gestalteten URLs: Bei Konstrukten wie http(s)://username:password@server/resource.ext soll Microsofts Webbrowser künftig keine Aktion mehr ausführen, sondern nur noch die Fehlermeldung "Invalid syntax error" zurückgeben. Wann der Fix für Anwender verfügbar wird, gab Microsoft nicht bekannt; bislang hatte der Konzern nur Workarounds für das Problem genannt.
Das Ende vergangenen Jahres gefundene Sicherheitsproblem ermöglicht es Angreifern, Internet-Explorer-Nutzern gefälschte URLs unterzuschieben. Konstrukte in einem Link wie http://[email protected] gaukeln Anwendern vor, dass sie sich auf der Seite www.microsoft.com befinden, obwohl eigentlich die Seite www.heisec.de angezeigt wird -- die Adressbar des Internet Explorer unterschlägt den Teil hinter dem @. Eine Demonstration dieser Lücke finden Sie im c't-Browsercheck.
Mit einem vergleichbaren Problem hatte auch die Open-Source-Websuite Mozilla zu kämpfen. Seit Version 1.6 öffnet Mozillas Webbrowser zwar Webseiten mit solchen Konstrukten, zeigt sie aber sowohl in der Adressleiste als auch in der Statusbar vollständig an -- zumindest können so keine Missverständnisse darüber auftauchen, auf welcher Webseite sich ein Anwender tatsächlich befindet. Der Webbrowser des norwegischen Softwarehauses Opera warnt standardmäßig durch eine Dialogbox, wenn ein Anwender auf einen Link mit einer URL klickt, die einen durch @-Zeichen abgetrennten Bestandteil enthält.
Nach dem RFC 1738 sind übrigens http-URLs, die mit solch einer @-Konstruktion zur Übergabe von Username/Passwort arbeiten, eigentlich gar nicht vorgesehen. Zwar benennt RFC 2396 für die allgemeine URI-Syntax diese Konstruktion -- in dem RFC wird allerdings auch festgelegt, dass es nur für diejenigen Protokolle Gültigkeit hat, für die nicht wie bei http mit RFC 1738 eine eigene Definition vorliegt. In RFC 1738 wird die zulässige Form einer http-URL aber als http://<host>:<port>/<path>?<searchpart> festgelegt. Dies wird auch im RFC 1945 noch einmal festgehalten. (jk/c't)
http://www.heise.de/...k-28.01.04-001/
Microsoft kündigt Fix für URL-Spoofing an
=========================================
In einem Knowledgebase-Artikel weist Microsoft Web-Entwickler und Site-Betreiber darauf hin, dass der Konzern demnächst einen Fix für die so genannte URL-Spoofing-Lücke herausbringen will. Dadurch verändert sich das Verhalten des Internet Explorer bei entsprechend gestalteten URLs: Bei Konstrukten wie http(s)://username:password@server/resource.ext soll Microsofts Webbrowser künftig keine Aktion mehr ausführen, sondern nur noch die Fehlermeldung "Invalid syntax error" zurückgeben. Wann der Fix für Anwender verfügbar wird, gab Microsoft nicht bekannt; bislang hatte der Konzern nur Workarounds für das Problem genannt.
Das Ende vergangenen Jahres gefundene Sicherheitsproblem ermöglicht es Angreifern, Internet-Explorer-Nutzern gefälschte URLs unterzuschieben. Konstrukte in einem Link wie http://[email protected] gaukeln Anwendern vor, dass sie sich auf der Seite www.microsoft.com befinden, obwohl eigentlich die Seite www.heisec.de angezeigt wird -- die Adressbar des Internet Explorer unterschlägt den Teil hinter dem @. Eine Demonstration dieser Lücke finden Sie im c't-Browsercheck.
Mit einem vergleichbaren Problem hatte auch die Open-Source-Websuite Mozilla zu kämpfen. Seit Version 1.6 öffnet Mozillas Webbrowser zwar Webseiten mit solchen Konstrukten, zeigt sie aber sowohl in der Adressleiste als auch in der Statusbar vollständig an -- zumindest können so keine Missverständnisse darüber auftauchen, auf welcher Webseite sich ein Anwender tatsächlich befindet. Der Webbrowser des norwegischen Softwarehauses Opera warnt standardmäßig durch eine Dialogbox, wenn ein Anwender auf einen Link mit einer URL klickt, die einen durch @-Zeichen abgetrennten Bestandteil enthält.
Nach dem RFC 1738 sind übrigens http-URLs, die mit solch einer @-Konstruktion zur Übergabe von Username/Passwort arbeiten, eigentlich gar nicht vorgesehen. Zwar benennt RFC 2396 für die allgemeine URI-Syntax diese Konstruktion -- in dem RFC wird allerdings auch festgelegt, dass es nur für diejenigen Protokolle Gültigkeit hat, für die nicht wie bei http mit RFC 1738 eine eigene Definition vorliegt. In RFC 1738 wird die zulässige Form einer http-URL aber als http://<host>:<port>/<path>?<searchpart> festgelegt. Dies wird auch im RFC 1945 noch einmal festgehalten. (jk/c't)
#11
Meltdown
- Gruppe: aktive Mitglieder
- Beiträge: 2.216
- Beigetreten: 02. November 03
- Reputation: 0
- Geschlecht:Männlich
geschrieben 28. Januar 2004 - 14:42
Microsoft soll nichts ankündigen - der Patch müsste längst veröffentlicht sein.
Ich meine: Ist ja nicht so, das dieses Problem nicht schon länger bekannt wäre.
Aber ich bin jetzt wirklich mal gespannt auf die Februar-Patches von MS. Für XP ist
da in letzter ja nicht allzuviel gekommen...
Ich meine: Ist ja nicht so, das dieses Problem nicht schon länger bekannt wäre.
Aber ich bin jetzt wirklich mal gespannt auf die Februar-Patches von MS. Für XP ist
da in letzter ja nicht allzuviel gekommen...
Dieser Beitrag wurde von Meltdown84 bearbeitet: 28. Januar 2004 - 14:42
#12
Rika
- Gruppe: aktive Mitglieder
- Beiträge: 11.505
- Beigetreten: 11. Juni 03
- Reputation: 2
- Geschlecht:Männlich
geschrieben 28. Januar 2004 - 15:11
Es wird erst das SP2 auf Stand November '03 rausgebracht und alles nachfolgende dann als Einzel-Patches hinterhergeschoben. Was heisst: Auf SP2 warten.
Aber naja, wer den IE benutzt, ist echt selber schuld. Wer lesen kann und lesen will und Lesbares suchen will, der findet mehr als genug, was im IE schon seit Ewigkeiten nicht korrigiert wurde.
Aber naja, wer den IE benutzt, ist echt selber schuld. Wer lesen kann und lesen will und Lesbares suchen will, der findet mehr als genug, was im IE schon seit Ewigkeiten nicht korrigiert wurde.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#13
Meltdown
- Gruppe: aktive Mitglieder
- Beiträge: 2.216
- Beigetreten: 02. November 03
- Reputation: 0
- Geschlecht:Männlich
geschrieben 28. Januar 2004 - 15:29
Zitat (Rika: 28.01.2004, 15:11)
Es wird erst das SP2 auf Stand November '03 rausgebracht und alles nachfolgende dann als Einzel-Patches hinterhergeschoben. Was heisst: Auf SP2 warten.
Und wann soll das jetzt sein ?
Ich meine November 2003 ist ja jetzt auch schon wieder 2 Monate her...
Dafür braucht man doch nun wirklich nicht mehr bis Sommer. Das kann und
will ich nicht glauben...
Die Patches sollen in Ordnung sein (sagt MS) - aber verpackt mit dem SP2 muß dieser
ganze Kram dann noch monatelang getestet werden ?
Irgendwie klingt das unlogisch...
#14
Rika
- Gruppe: aktive Mitglieder
- Beiträge: 11.505
- Beigetreten: 11. Juni 03
- Reputation: 2
- Geschlecht:Männlich
geschrieben 28. Januar 2004 - 15:48
Naja, SP2 soll doch validiert werden. Wenn sie jetzt wieder die Patches reinmachen, müssen sie den Beta-Test von vorne bzw. in einer zweiten Phase starten. Wenn man das immer so machen würde, wird man nie fertig.
Dass sie offensichtlich den flaschen Zeitpunkt für den Beta-Test gewählt haben, wollen sie allerdings auch nicht zugeben.
Dass sie offensichtlich den flaschen Zeitpunkt für den Beta-Test gewählt haben, wollen sie allerdings auch nicht zugeben.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#15 _shelby_
geschrieben 28. Januar 2004 - 15:55
Wenn das stimmt, dann wirst Du hoffentlich recht schnell ein WF Up 2.1 erstellen.
#16
Meltdown
- Gruppe: aktive Mitglieder
- Beiträge: 2.216
- Beigetreten: 02. November 03
- Reputation: 0
- Geschlecht:Männlich
geschrieben 28. Januar 2004 - 15:56
Zitat (Rika: 28.01.2004, 15:48)
Naja, SP2 soll doch validiert werden. Wenn sie jetzt wieder die Patches reinmachen, müssen sie den Beta-Test von vorne bzw. in einer zweiten Phase starten. Wenn man das immer so machen würde, wird man nie fertig.
Ach so meinst Du das.
November war also dann praktisch "Deadline" für alles was noch rein sollte.
Danach dann nur noch testen ob es läuft - und gebenenfalls korrigieren.
Das macht schon eher Sinn...
- ← Aida32
- News
- Neue Patches →
