Sicherheitsloch bei der Browser-Authentifizierung |
||
---|---|---|
#0
| ||
03.04.2004, 10:48
Member
Beiträge: 1122 |
||
|
||
03.04.2004, 11:20
Member
Beiträge: 813 |
#2
Zitat Bis alle Server- und Browser-Hersteller Patches und Erweiterungen bereitstellen, empfiehlt Ncevy als Schutzmaßnahme, auf Servern kein HTTP mehr einzusetzen. Auch Anwender sollten beim Surfen auf das schon vom Design her unsichere HTTP verzichten. Man beachte bitte das Datum der Meldung... __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? |
|
|
||
03.04.2004, 11:35
Member
Beiträge: 201 |
#3
Jau, das ist echt lustig. Allerdings muß man dazusagen das auch hier etwas Wahrheit mit drinsteckt. Aber das brauch man ja schlißlich auch um es glaubwürdiger zu machen
Aber ich habe bei meinem selbstgeschriebenen FilterProxy nicht umsonst Funktionen eingebaut um HTTP Header beliebig zu filtern und "on the fly" zu ersetzen, erweitern oder zu löschen. Auch damit kann man manchmal schon viel erreichen. Es gibt z.B. immernoch einige Leute die den Referer abfragen und darüber Authentifizierungen mit realisieren nach dem Motto wenn er von einer intenen Seite kommt ist das erlaubt Auch das modifizieren von Cookies kann manchmal Wunder wirken. Also ganz so abwegig ist diese meldung nicht allerdings wird man das auch nie wirklich ändern können. Und ein echtes Sicherheitsproblem ist das keinesfalls. Man darf sich wenn man selber Webseiten erstellt nur NIEMALS auf die Angaben verlassen die ein Browser rüberschickt da man die ALLE manipulieren kann. Incl der PHP Sessions-ID's, Cookies oder gar Variablen die man nichtmal auf der Webseite stehen hat aber denoch intern irgendwo verwendet. Teilweise kann mit eim path=xy in der URL Wunder bewirken da die Ersteller von Scripten nicht daran denken das man alles rüberschicken kann. Wer da einfach alle Argumente vom User übernimmt ohne Prüfung hat schon ein dickes Loch. Aber der Vorschlag einfach kein HTTP mehr zu werden ist lustig Ich finde wir fangen mal gleich damit an und nutzen wieder alle das gute GOPHER. Ist ja immernoch ziemlich aktiv und für einige Sachen sogar besser geeignet da einfach kleiner und schneller. Ausserdem kennt das kaum noch jemand |
|
|
||
03.04.2004, 11:50
Member
Themenstarter Beiträge: 1122 |
#4
Jaja Bugs in Protokollen sind immer ärgerlich, da die dann meistens alle damit arbeitende Programme tangieren.
MFG DAFRA Dieser Beitrag wurde am 04.04.2004 um 10:33 Uhr von Dafra editiert.
|
|
|
||
03.04.2004, 16:03
Member
Beiträge: 813 |
#5
Die hier sind auch darauf reingefallen... :
http://security.sunrise.ch/Main/index.asp?FallNr=2482 Und hier wurde das Thema ebenfalls "aufgegriffen": http://www.symlink.ch/articles/04/04/01/1313213.shtml __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? |
|
|
||
03.04.2004, 18:31
Member
Themenstarter Beiträge: 1122 |
#6
Also das ist doch April April oder ??
So hab ichs jedefalls gesehen. Oder lieg ich da falsch ????????? MFG DAFRA |
|
|
||
Zitat
QuelleMFG
DAFRA