heise meldet: heise online - Daten von eBay-Mitgliedern veröffentllicht.
Ob das nun eine Sicherheitslücke von eBay ist oder ein Phishing-Angriff (hat man solche Leute je gekriegt? interssiert das eBay überhaupt?), egal.
Bei Adobe hingegen kann man natürlich Dateien runterladen... die, die dafür vorgesehen sind, aber auch andere. Ein Kommentator im Heise Forum weist auf URLs hin, unter denen sensitive Daten liegen.
Über die URLs kommt man unter Ausnutzung des regulären Download-Tools von Adobe selbst, das keine entsprechende Sperre enthält, einmal zur httpd.conf des Webserverprozesses des Abdobe-Sites.
In der httpd.conf sind die Konfigurationsanweisungen für den Webserver zu finden und neben Benutzernamen und Passwörtern für geschützte Verzeichnisse auch die Angabe wo der SSL-Key zu finden ist, der zur Verschlüsselung von 'sicheren' SSL-Transfers, wie sie z.B. für Kreditkarten-Daten-Transfers benutzt wird.
Im Gegensatz zum Public-Key sollte man bei Verschlüsselungen den Privat-Key nie rumtratschen.
Knapp könnte man sagen, dass sich Adobe seinen eigenen Trojaner auf den Server gebastelt hat.
Schön zu sehen, dass die Leute verantwortungsvoll mit unseren Kreditkartendaten umgehen...
Ob das nun eine Sicherheitslücke von eBay ist oder ein Phishing-Angriff (hat man solche Leute je gekriegt? interssiert das eBay überhaupt?), egal.
Bei Adobe hingegen kann man natürlich Dateien runterladen... die, die dafür vorgesehen sind, aber auch andere. Ein Kommentator im Heise Forum weist auf URLs hin, unter denen sensitive Daten liegen.
Über die URLs kommt man unter Ausnutzung des regulären Download-Tools von Adobe selbst, das keine entsprechende Sperre enthält, einmal zur httpd.conf des Webserverprozesses des Abdobe-Sites.
In der httpd.conf sind die Konfigurationsanweisungen für den Webserver zu finden und neben Benutzernamen und Passwörtern für geschützte Verzeichnisse auch die Angabe wo der SSL-Key zu finden ist, der zur Verschlüsselung von 'sicheren' SSL-Transfers, wie sie z.B. für Kreditkarten-Daten-Transfers benutzt wird.
Im Gegensatz zum Public-Key sollte man bei Verschlüsselungen den Privat-Key nie rumtratschen.
Knapp könnte man sagen, dass sich Adobe seinen eigenen Trojaner auf den Server gebastelt hat.
Schön zu sehen, dass die Leute verantwortungsvoll mit unseren Kreditkartendaten umgehen...
Details zum Adobe Lapsus bei document.write();... ;-)
AntwortenLöschen-verbose pls
LöschenNaja, Kreditkartendaten... wer so bescheuert ist, bei Adobe direkt einzukaufen, der muss es eh so dicke haben, dass alles zu spät ist. ;-|
AntwortenLöschenIst jetzt aber nicht echt n Argument, oder? ;)
LöschenNaja, sagen wir mal so: Über Sicherheit anderer Leute schimpft man besser nicht, wenn man die Hintergründe nicht kennt und selbst eine Alpha-Version einer Blogsoftware nutzt. ;-)
LöschenNa ja, welche "Hintergründe" könnte es geben, wenn jemand Private Keys von SSL-Zertifikaten zum Download zur Verfügung stellt? Bzw. warum hat das Downloadskriptkeien Abfrage: "Aber bitte nur unterhalb von ../downloads/..."
LöschenUnd der Mensch, der dieses Blog bzw dessen Server und Updates administriert entwickelt (soweit ich weiß) bei s9y mit und war früher "security @ web.de".
Ich rate, dass er weiß, was er tut ;)
(z.B. weil diese Alpha ggf. irgend nen Securitypatch hat ;) )
Deine Argumentation scheint mir minimal sprunghaft ;)
- da kaufen ja eh nur doofe (ehm?)
- mach es erst mal besser als Adobe (hä?)
Mir kommt es gar nicht so auf den Fehler selbst an. Fehler entstehen, Fehler kann man beheben. Wenn jeder seine Fehler im Voraus wüsste, die er begeht, wäre das möglicherweise eine (utopische) Lösung. Das weiss z.B. auch dein Blog-Administrator und unser geschätzter Freund, der ähnliche Erdungen oft genug auch an mir vornehmen muss. ;-)
LöschenIch mag diese inzwischen gut vorhersehbare Antwort der Blogosphäre auf solche Vorfälle nicht. Genügend selbsternannte Security-Spezialisten, Mega-Administratoren, inkompetente Heise-Redakteure und sonstige Wegelagerer greifen zu den Steinen und machen einen auf "Pööööse, pöööse!" Als ob Adobe es nicht selbst schnallen würde, dass so ein Vorfall nicht an der Tagesordnung stehen darf.
Ich habe absolut nichts dagegen, wenn jemand warme Luft erzeugt, um sein Blog zu füllen. Kann Spass machen, mache ich auf anderer Ebene sicherlich auch gern mal. Nur wenn jemand anderen Leuten ihre Security kommentieren will, sollte er evt. die Hintergründe dazu kennen. Sieht einfach besser aus. ;-)
Nun ja, der Tipp kam von jemand, den du auch kennst. Und der hat mir auch das erklärt (auf seine Charmante Art ;) ) was ich nicht verstanden hab.
LöschenDa ich mal für ihn gearbeitet habe,kenne ich es bei Securityfragen so, dass man überlegt
- Was ham wir auf dem Server?
- Ist das ne Sicherheitslücke?
- Wie stellen wir das ab?
Natürlich kann man auch nachher mal was entdecken, aber obige Lücke scein t mir so wild, dass...
Zudem ging es mir darum, jenseits des Einzeilers bei heise zu erklären, was da passiert.
Interessiert aber wohl eh keien Sau, wenn Adobe sich offenbar nicht präventiv um seinen IT-Sec kümmert.
Meine Quellen sagen da eher, dass große Firmen von IT-Sec-Leuten nur hören wollen, dass alles OK ist und nicht, dass man noch was tun muss.
Zudem habe ich wohl immer noch nicht verstanden, was du mit 'Hintergründen' meinst: Dass es nen guten Grund gibt den private SSL-Key zu publizieren oder dass sich ein ITSec-Ler bei Adobe grad scheiden lässt und sich um sowas nicht kümmern kann?
Machste mir mal n Beispiel für mögliche 'Hintergründe'?