Blah-Archiv » XSS http://localhost/blah-dev Kurz und knapp und blah... Thu, 01 Aug 2013 18:58:27 +0000 de-DE hourly 1 http://wordpress.org/?v=3.6 Telekom des Tages: Wenn jemand bei der Deutschen… http://localhost/blah-dev/2013/07/09/telekom-des-tages-wenn-jemand-bei-der-deutschen/ http://localhost/blah-dev/2013/07/09/telekom-des-tages-wenn-jemand-bei-der-deutschen/#comments Tue, 09 Jul 2013 14:13:42 +0000 Nachtwächter http://localhost/blah-dev/2013/07/09/telekom-des-tages-wenn-jemand-bei-der-deutschen/ Telekom des Tages: Wenn jemand bei der Deutschen Drosselkom eine Sicherheitslücke findet, die eine feindliche Übernahme der Mailadresse ermöglicht, und das der Deutschen Drosselkom mitteilt, dann arbeitet die Deutsche Drosselkom da sechs Wochen lang mit extrazischendem Ultra-Hochdruck dran und schafft es mit dieser ganzen Zeit und dieser ganzen »Mühsal« noch nicht einmal, die anfällige Funktion – die für den »normalen« Betrieb eher unbedeutend ist und sich für ein paar Tage über andere Support-Wege umleiten lassen sollte – auszukommentieren. Warum sollte man denn auch seine Kunden davor schützen, dass ihre Mailadresse mit einem verhältnismäßig einfachen Angriff von Kriminellen missbraucht werden könnte? Das eröffnet ja nur so ein paar weitere kriminelle Möglichkeiten, wenn man an eine aktiv genutzte Mailadresse eines Opfers kommt…

Schneller Nachtrag: Ach ja, T-Online ist ja zertifizierter DE-Mail-Anbieter und DE-Mail ist ja definitionsgemäß sicher, weils gesetzlich für sicher erklärt wurde!!1! Da gewöhnt man sich natürlich an die Definition und hats nicht mehr so mit dem Handeln… [Danke, T.]

]]>
http://localhost/blah-dev/2013/07/09/telekom-des-tages-wenn-jemand-bei-der-deutschen/feed/ 0
Fail des Tages: Die XSS-Lücke auf der Seite der… http://localhost/blah-dev/2012/09/11/fail-des-tages-die-xss-luecke-auf-der-seite-der/ http://localhost/blah-dev/2012/09/11/fail-des-tages-die-xss-luecke-auf-der-seite-der/#comments Tue, 11 Sep 2012 15:50:11 +0000 Bio http://localhost/blah-dev/2012/09/11/fail-des-tages-die-xss-luecke-auf-der-seite-der/ Fail des Tages: Die XSS-Lücke auf der Seite der Task Force »IT-Sicherheit in der Wirtschaft« des Bundesministerium für Wirtschaft und Technologie

http://tinyurl.com/itsicherheitwirtschaft

NoScript o.Ä. das einen XSS-Schutz dabei hat abschalten, denn sonst wird das nicht funktionieren.

Wer Angst hat, sollte nicht klicken – ich garantiere nicht dass da nicht doch schon Malware drin ist. Ansonsten kann man sich ja mal die URL dahinter anschauen und den Code der da eingeschleust wird. Freunde des Katzencontent werden schmunzeln ;)

Nachtrag:
Anscheinend haben die das jetzt schnell behoben, denn es funktioniert nun nicht mehr.
Nachtrag 2:
Link zur Quelle
Nachtrag 3:
Und hier das Video dazu. Für diejenigen, die den Knüller der Spezialexperten nicht mehr live sehen konnten.

]]>
http://localhost/blah-dev/2012/09/11/fail-des-tages-die-xss-luecke-auf-der-seite-der/feed/ 0
Das TÜV-Sicherheitssiegel des Tages geht an Pay… http://localhost/blah-dev/2012/03/22/das-tuev-sicherheitssiegel-des-tages-geht-an-pay/ http://localhost/blah-dev/2012/03/22/das-tuev-sicherheitssiegel-des-tages-geht-an-pay/#comments Thu, 22 Mar 2012 12:40:53 +0000 Nachtwächter http://localhost/blah-dev/2012/03/22/das-tuev-sicherheitssiegel-des-tages-geht-an-pay/ Das TÜV-Sicherheitssiegel des Tages geht an PayPal, denn die konnten dafür bezahlen, dass sie diese Grafik in ihre Website verbauten. Leider übersah der TÜV eine klaffende XSS-Lücke in der PayPal-Website. Na, macht ja nichts, wenn den Leuten eines Bezahldienstleisters massenhaft die Kontodaten mitgelesen werden können…

Übrigens: Wenn ich eine Website sehe, auf der irgendein vom Betreiber teuer bezahltes Qualitätssiegel prangt, suche ich mir eine andere Website mit vergleichbarem Angebot, aber ohne derartiges Blendwerk. Denn dort könnte es immerhin sein, dass der Betreiber das dafür eingesparte Geld lieber in richtige Sicherheit steckt. :mrgreen:

]]>
http://localhost/blah-dev/2012/03/22/das-tuev-sicherheitssiegel-des-tages-geht-an-pay/feed/ 0
Du hast einen Account bei ihhBäh? drei… zwei. … http://localhost/blah-dev/2011/08/10/du-hast-einen-account-bei-ihhbaeh-drei-zwei/ http://localhost/blah-dev/2011/08/10/du-hast-einen-account-bei-ihhbaeh-drei-zwei/#comments Wed, 10 Aug 2011 11:27:50 +0000 Nachtwächter http://localhost/blah-dev/2011/08/10/du-hast-einen-account-bei-ihhbaeh-drei-zwei/ Du hast einen Account bei ihhBäh? drei… zwei… eins… meins!

]]>
http://localhost/blah-dev/2011/08/10/du-hast-einen-account-bei-ihhbaeh-drei-zwei/feed/ 5
Fail des Tages: Die Website der Bundesregierung … http://localhost/blah-dev/2011/07/20/fail-des-tages-die-website-der-bundesregierung/ http://localhost/blah-dev/2011/07/20/fail-des-tages-die-website-der-bundesregierung/#comments Wed, 20 Jul 2011 18:35:14 +0000 Nachtwächter http://localhost/blah-dev/2011/07/20/fail-des-tages-die-website-der-bundesregierung/ Fail des Tages: Die Website der Bundesregierung gibt es jetzt auch mit Katzen-Content. Warum auch sollte binnen eines Monats anderthalb Wochen nach Meldung einer XSS-Lücke etwas getan werden, um die Lücke zu stopfen? :mrgreen:

Nachtrag: Merkzettel für mich selbst. Gründlich lesen, dann schreiben. Siehe Kommentar… ;)

]]>
http://localhost/blah-dev/2011/07/20/fail-des-tages-die-website-der-bundesregierung/feed/ 5
Bei der Bahn hat man ein Problem: »Liebe Bahn, … http://localhost/blah-dev/2011/07/06/bei-der-bahn-hat-man-ein-problem-liebe-bahn/ http://localhost/blah-dev/2011/07/06/bei-der-bahn-hat-man-ein-problem-liebe-bahn/#comments Wed, 06 Jul 2011 21:46:25 +0000 Nachtwächter http://localhost/blah-dev/2011/07/06/bei-der-bahn-hat-man-ein-problem-liebe-bahn/ Bei der Bahn hat man ein Problem: »Liebe Bahn, du hast eine Sicherheitslücke auf deiner Website. Damit kann man Kundendaten ausspähen und Accounts missbrauchen. Kannst du die Lücke mal bitte fixen? Oder ist sie dir so lange egal, bis wir hier auch noch veröffentlichen, wie man sie nutzt?« – bei solchen Unternehmen wie der Bahn glaube ich ja fast, dass die keinen einzigen Mitarbeiter im eigenen Haus haben, der die Software so gut versteht, dass er jetzt die XSS-Lücke beseitigen kann. Aber es ist mal wieder schön zu sehen, wie wenig es »bringt«, wenn man die von einer ernsthaften Sicherheitslücke in ihrem Webauftritt betroffenen Unternehmen mit einer freundlichen Mail direkt informiert, denn da passiert einfach gar nichts. Vermutlich wurde die ausgedruckte Mail mit der Rohrpost durch die Büroräume bewegt und liegt gerade bei jemanden herum, der sich überlegt, wer dafür zuständig ist.

]]>
http://localhost/blah-dev/2011/07/06/bei-der-bahn-hat-man-ein-problem-liebe-bahn/feed/ 0
Fotostrecke des Tages: Glaubt jemand, dass die W … http://localhost/blah-dev/2011/01/28/fotostrecke-des-tages-glaubt-jemand-dass-die-w/ http://localhost/blah-dev/2011/01/28/fotostrecke-des-tages-glaubt-jemand-dass-die-w/#comments Fri, 28 Jan 2011 21:54:28 +0000 Nachtwächter http://localhost/blah-dev/2011/01/28/fotostrecke-des-tages-glaubt-jemand-dass-die-w/ Fotostrecke des Tages: Glaubt jemand, dass die Websites der Banken sicher wären?

]]>
http://localhost/blah-dev/2011/01/28/fotostrecke-des-tages-glaubt-jemand-dass-die-w/feed/ 0
Boo des Tages: Die Leute von bbPress haben es au … http://localhost/blah-dev/2011/01/18/boo-des-tages-die-leute-von-bbpress-haben-es-au/ http://localhost/blah-dev/2011/01/18/boo-des-tages-die-leute-von-bbpress-haben-es-au/#comments Tue, 18 Jan 2011 20:52:15 +0000 Nachtwächter http://localhost/blah-dev/2011/01/18/boo-des-tages-die-leute-von-bbpress-haben-es-au/ Boo des Tages: Die Leute von bbPress haben es auch über zwei Wochen, nachdem eine durchaus kritische XSS-Lücke schon längst gefixt ist immer noch nicht geschafft, mal eine neue Release mit dem Security-Fix zu machen. Und natürlich auch keinen prominenten Hinweis auf das bekannte Problem.

]]>
http://localhost/blah-dev/2011/01/18/boo-des-tages-die-leute-von-bbpress-haben-es-au/feed/ 0
Hinweis: Der Security-Upgrade eines WP 3.0.3 auf … http://localhost/blah-dev/2010/12/30/hinweis-der-security-upgrade-eines-wp-3-0-3-auf/ http://localhost/blah-dev/2010/12/30/hinweis-der-security-upgrade-eines-wp-3-0-3-auf/#comments Wed, 29 Dec 2010 23:55:08 +0000 Nachtwächter http://localhost/blah-dev/2010/12/30/hinweis-der-security-upgrade-eines-wp-3-0-3-auf/ Hinweis: Der Security-Upgrade eines WP 3.0.3 auf 3.0.4 mit dem Upgradepaket verläuft ohne erkennbare Probleme und erfreulich schnell. Die gefixte Sicherheitslücke ist wirklich keine Kleinigkeit und erlaubt XSS-Angriffe. Also so schnell es geht upgraden!

]]>
http://localhost/blah-dev/2010/12/30/hinweis-der-security-upgrade-eines-wp-3-0-3-auf/feed/ 4
Ich finde es übrigens total interessant, das No … http://localhost/blah-dev/2010/02/10/ich-finde-es-uebrigens-total-interessant-das-no/ http://localhost/blah-dev/2010/02/10/ich-finde-es-uebrigens-total-interessant-das-no/#comments Wed, 10 Feb 2010 00:13:34 +0000 Nachtwächter http://localhost/blah-dev/2010/02/10/ich-finde-es-uebrigens-total-interessant-das-no/ Ich finde es übrigens total interessant, das NoScript im Firefox mir bei den englischsprachigen Newsseiten von Yahoo meldet, dass es eine mögliche Cross-Site-Scripting-Attacke geblockt hat. Was haben die sich da für eine JavaScript-Jauche zusammengefrickelt. So eine Meldung kenne ich sonst nur von total fragwürdigen, mit Spam beworbenen Websites.

]]>
http://localhost/blah-dev/2010/02/10/ich-finde-es-uebrigens-total-interessant-das-no/feed/ 0
Brüller des Tages: Der XSS-Schutz im Internet E … http://localhost/blah-dev/2009/11/25/brueller-des-tages-der-xss-schutz-im-internet-e/ http://localhost/blah-dev/2009/11/25/brueller-des-tages-der-xss-schutz-im-internet-e/#comments Wed, 25 Nov 2009 13:49:23 +0000 Nachtwächter http://localhost/blah-dev/2009/11/25/brueller-des-tages-der-xss-schutz-im-internet-e/ Brüller des Tages: Der XSS-Schutz im Internet Exploiter macht den IE anfällig für XSS-Attacken.

]]>
http://localhost/blah-dev/2009/11/25/brueller-des-tages-der-xss-schutz-im-internet-e/feed/ 0
Die dringende WordPress-Warnung des Tages: Jede … http://localhost/blah-dev/2009/09/06/die-dringende-wordpress-warnung-des-tages-jede/ http://localhost/blah-dev/2009/09/06/die-dringende-wordpress-warnung-des-tages-jede/#comments Sun, 06 Sep 2009 17:05:03 +0000 Nachtwächter http://localhost/blah-dev/2009/09/06/die-dringende-wordpress-warnung-des-tages-jede/ Die dringende WordPress-Warnung des Tages: Jede WordPress-Version vor 2.8.4 kann von einem Cracker übernommen werden, wenn Benutzerregistrierungen möglich sind. Ich habe mal eben versucht, den Hack aus den Infos nachzuvollziehen, und es ist ein Kinderspiel. Wer eine ältere WordPress-Version hat, sollte jetzt entweder sofort die aktuelle Version aufspielen oder aber die Möglichkeit zur Benutzer-Registrierung abschalten. Das Problem betrifft auch WordPress-Blogs mit einem integrierten bbPress-Forum, da dann die Benutzerregistrierung über das Forum ermöglicht wird. Ehrlich gesagt bin ich froh, dass ich in den letzten Tagen eine allgemeine Upgrade-Kampagne über fast alle von mir verantworteten Blogs gefahren habe, denn sonst hätte ich jetzt viel zu schwitzen.

]]>
http://localhost/blah-dev/2009/09/06/die-dringende-wordpress-warnung-des-tages-jede/feed/ 0