Kommentare für mein gott und meine welt

Kommentar zu “aber ob und wann” die Lücke geschlossen wird… von ich

ich — Sat, 04 Feb 2012 09:00:55 +0000

Was soll ich sagen? Danke!

Kommentar zu “aber ob und wann” die Lücke geschlossen wird… von Peili

Peili — Sat, 04 Feb 2012 00:11:01 +0000

Ich lese deinen Blog schon lange und wollte mich hiermit für deine interessanten Beiträge bedanken.

VG Peili

Kommentar zu Der verantwortungsvolle Umgang mit Sicherheitslücken von ich

ich — Mon, 07 Nov 2011 12:37:52 +0000

@Sicherheit-Online.org: Ich habe den Eindruck dass meine Kritik nicht verstanden wird. Ich werde hier jetzt aber nicht jeden Satz des “Nachtrags” sezieren.

Ich empfinde es daher als beleidigend, wenn man diese gutmütige Tätigkeit herabstuft und uns die Schuld an dem Fehlverhalten der Betreiber gibt.

Die Schuld an dem Fehler und der Möglichkeit Benutzerdaten abzusaugen hat natürlich der Seitenbetreiber. Nur weil ich kostenlos (und ungefragt) Sicherheitslücken aufspüre, muss ich diese aber nicht öffentlich machen. Es gibt einfach Sicherheitslücken, die kann man nicht veröffentlichen, da muss man entweder auf eine Reaktion bzw. den Fix warten oder man muss anderer Wege gehen.

Wenn ich Lücken finde, dann bekomme ich i.d.R. eine Antwort, auf die eine oder andere Art. Ich veröffentliche aber niemals Lücken, die jemand zum Schaden anderer ausnutzen kann. SQL-Injection ist wirklich so schwerwiegend, bei der sich eine Veröffentlichung vor dem Fix verbietet. Sollte der Betreiber nicht reagieren, dann bleibt mir eben nur noch der Hinweis an den jeweiligen Landesdatenschützer.

Alleine schon der Hinweis “Auf Seite xyz.tld gibt eine SQL-Injection.” reicht vollkommen aus, um Angreifer anzulocken, was der Text der “AnonyPwnies” ja anschaulich zeigt. In erster Linie ist die Veröffentlichung solcher Lücken keine Hilfe für die Kunden, sondern ein gefundenes Fressen für Angreifer.

Wenn man hier wegen jeder Schwachstelle, bei der eine Antwort ausbleibt, zum Telefon greifen würde, dann wäre man den ganzen Tag nur noch mit Telefonaten beschäftigt.

Verantwortliches Handeln schließt auch ein, dass nur so viele Schwachstellen bearbeitet werden, die auch angemessen betreut werden können.

Kommentar zu Der verantwortungsvolle Umgang mit Sicherheitslücken von ich

ich — Mon, 07 Nov 2011 11:38:26 +0000

@MEcki: Äpfel und Glühbirnen… :O)

Kommentar zu Der verantwortungsvolle Umgang mit Sicherheitslücken von MEcki

MEcki — Mon, 07 Nov 2011 11:23:16 +0000

Was wird hier eigentlich für einen Müll von dir gegeben?
Wenn ein Hersteller ein Messer verkauft wird er ja auch für den Mord verklagt der damit begangen wurde? Wenn mobile2day.de hier Fahrlässing mit Kundendaten umgeht dann ist dies allein deren Schuld bzw. die der unfähigen Admins.

Kommentar zu Der verantwortungsvolle Umgang mit Sicherheitslücken von Sicherheit-Online.org

Sicherheit-Online.org — Mon, 07 Nov 2011 11:02:25 +0000

Guten Tag Herr Schwarz,

eine Antwort auf Ihren Beitrag finden Sie hier: http://www.sicherheit-online.org/Aktuelle-Themen/Sicherheitslucke-bei-mobile2day.de-wird-ignoriert.html

Gerne können wir uns über dieses Thema unterhalten.

Viele Grüße
Heiko Frenzel
Sicherheit-Online.org

Kommentar zu 0zapftis: Quellcode ist was für Weicheier von ich

ich — Sat, 22 Oct 2011 16:31:30 +0000

Ich halte das Halteproblem eher für offensichtlich. Eine mechanische Maschine kann ich bis zur letzten Schraube auseinandernehmen, erforschen welches Teil welche Funktion hat und ggf. die Maschine nachbauen. Das eine Software ohne Analyse des Quellcodes nicht vollends verstanden werden kann, sollte auch für einen minderbegabten Menschen leicht begreifbar sein.

Ich erwarte von Politikern nicht, dass sie auf jede Frage sofort die richtige Antwort parat haben, aber ich erwarte, dass sie sich im Zweifelsfall informieren. Dass im Fall von 0zapftis die Realität einfach ignoriert wird und gebetsmühlenartig immer wieder der gleiche Unsinn verbreitet wird, kotzt mich einfach an. Hier wird offensichtlich versucht, das Problem auszusitzen, indem so lange die Unwahrheit verbreitet wird, bis die Öffentlichkeit müde ist und sich anderen Themen zuwendet.

Politiker wie Friedrich und Herrmann verarschen ihren Dienstherren fortwährend. Leider werden sie damit auch wieder durchkommen und im Amt bleiben, weil die sogenannte Vierte Gewalt ihren Job nicht macht und für deren Ablösung sorgt. Im letzten Jahrhundert sind Politiker für deutlich weniger, als den Aufruf zum Verfassungsbruch, von der Presse gekreuzigt und zum Rücktritt gezwungen worden.

Kommentar zu 0zapftis: Quellcode ist was für Weicheier von honze

honze — Sat, 22 Oct 2011 13:51:08 +0000

Das Halteproblem ist nicht trivial und auf den ersten Blick auch nicht offensichtlich. Für Informatiker und auch sonst technisch begabte Menschen ist das aber kein achtes Weltwunder.

Politikern diesen Zusammenhang klar und verständlich zu erklären ist meiner Meinung nach NP-vollständig.

Kommentar zu Unbemerkte Angriffe sind kein Beweis für fehlende Angreifer von ich

ich — Mon, 19 Sep 2011 07:28:58 +0000

DAUs gibt es eben nicht nur bei den Heimseitenbetreibern selber. Da findet man Exemplare die ihre Server so konfigurieren, dass der Kunde auch in fremden Accounts lesen (zum Teil auch schreiben) kann und dies hoch bis ins root-Verzeichnis. Oder der Hoster speichert Backups auf seinem zweiten Server und diese sind natürlich für Jedermann downloadbar (Hier meinte der Hoster wohl: “Meine IP-Adresse ist so geheim…”).

Ein “Hoster” kann schon jemand sein, der einfach nur einen Root-Server gemietet hat.

Wenn dir eine Dummheit durch den Kopf schießt und du sie in eine Suchanfrage kondensieren kannst, du wirst über Google sicher jemanden finden können, der genau diese Dummheit begangen hat.

Kommentar zu Unbemerkte Angriffe sind kein Beweis für fehlende Angreifer von helhum

helhum — Sun, 18 Sep 2011 21:44:14 +0000

Wenn ein Hoster seinen Kunden Datenbank User mit dem FILE privilege zur Verfügung stellt, ist dem Hoster allerdings auch nicht mehr zu helfen ^^