Zitat:
Zitat von Thomas Sassmannshausen
Nein, es passiert gar nichts.
|
Siehe mein zwischenzeitliches Posting. Exploit wurde stillschweigend von irgendjemandem entfernt.
Zitat:
Zitat von Thomas Sassmannshausen
Das steht unverschlüsselt in jedem TM Cookie und im Seitenquelltext. Hallo, die Seite ist uralt  |
Ja, genau. Das ist eben inzwischen als unverantwortlich anzusehen. Man sollte den Usern dieses Sicherheitsproblem mitteilen. Dann können sie angemessen reagieren.
Zitat:
Zitat von Thomas Sassmannshausen
Nichts für ungut, aber wer nicht versteht, dass das kein Problem darstellt, ... (ich denke jedem ist Bewusst, wie alt diese Seite ist, und da nur ca 1800 Leute hier mitspielen, gibt es auch nix wildes zu holen)
|
Ok, sagen wir kein großes Problem. Aber wie oben erwähnt: lass mal einen sein TM-PW auch für sein Email-Konto benutzen. Schon ist Schaden, auch finanzieller Art, möglich.
Witzigerweise speichert auch communio PWs im Klartext auf ihrem Server. Dort habe ich darauf hingewiesen, dass das nicht mehr state-of-the-art ist. Antwort: "So isses für uns und unsere Nutzer am einfachsten!"
Ja, klar, einfach. Aber eben nicht so sicher, wie es sein könnte/sollte.
Zitat:
Zitat von Thomas Sassmannshausen
Cool, dann kannst Du ja für mich die Formulare erstellen 
Im ernst: Hab das eben falsch verstanden. Dachte Du würdest durch das Besuchen der Seite unsere PWs abfischen. Dann wäre ich wohl eher zur Polizei gegangen, weil das glaube ich, nicht legal ist |
Naja, ICH tue das nicht, hätte es aber gekonnt. Wer sagt dir, dass Dritte das nicht schon längst getan haben, oder bald tun werden?
Zitat:
Zitat von Thomas Sassmannshausen
Mal ne Frage: Diese Javascript Dinger, die man ins Profil einbaut, die liegen ja nicht auf dem Tipmaster-Server. Also würde bei Surfen mit noscript, etc. doch nix passieren, oder?
|
Jein. Auf dem TM musste JS ja zulassen, da zB. das Menü (unnötigerweise) darauf angewiesen ist. Mein Exploit-JS hat sehrwohl auf dem TM-Server gelegen. Hier bringt dir NoScript also wenig, da du vermutlich für tipmaster.de eine Ausnahme eingetragen hast. Würde der Exploit nun malicious code von einer Drittseite nachladen, würde dein NoScript das Blocken. Insofern bist du da auf der sicheren Seite, was Infektionen deines Rechners angeht.
Allerdings könnte man auch versuchen malicious code komplett im Profil unter zu bringen. Da ist dann vermutlich die Größe des Datenbankfeldes der begrenzende Faktor. Existiert keine Größenbeschränkung, biste doch wieder in Gefahr.
Dein Passwort isses in jedem Fall!
Das Sessionmanagement zu überarbeiten ist zwar angeasgt, aber nicht dringend.
Die Scriptinglücken müssen aber umgehend geschlossen werden!