|
|
|
|||||||
| Registrieren | Chat | Hilfe | Benutzerliste | Kalender | Suchen | Heutige Beiträge | Alle Foren als gelesen markieren |
 |
|
|
Themen-Optionen | Ansicht |
|
|
|
#1
|
||||||
|
||||||
Der TM scheint sicher zu sein. Hurra.
__________________
Andy Schafroth
|
|
#2
05.10.2013, 00:54
|
||||||
|
||||||
Ich habe mir in den letzten Tagen eine Reihe der TM-Seiten intensiv angeschaut. Zur Demonstration gibt es hier einen kleinen Exploit:
http://tipmaster.de/cgi-mod/btm/trai...t=Hans%20Meyer Ans Passwort anderer Spieler zu kommen ist also ein Kinderspiel. Nun soll es immer noch viele Leute geben, die für Alles das gleiche Passwort nutzen. Hat man erstmal Zugriff aufs E-Mail-Postfach kann es schnell unangenehm werden. Mittels Passwort-Rücksetztroutine der einzelnen Seiten stehen dann auch Amazon, Ebay, Apple Store, Google Play, Facebook, etc. offen. Will TipMaster für den Schaden seiner Mitspieler verantwortlich gemacht werden? Neben dem Aspekt des externen Schadens, steht noch der des internen Schadens. Will sagen, es ist möglich die Tippabgaben von Spieler einzusehen, zu ändern, oder gar den Account zu löschen. Besonders übel sind zwei Seiten, da sie "user content" speichern und anderen Anzeigen: - Profil Seite (wie oben im Exploit) - MessageBox Hier wäre es sogar möglich einen JavaScript-Wurm einzuschleußen: - Jeder, der ein infiziertes Profil betrachtet, infiziert unbemerkt sein eigenes. - Jeder, der eine infizierte Nachricht öffnet, sendet unbemerkt selber infizierte Nachrichten an anderer. Dabei ist eine Infektion nicht so "freundlich" wie der Exploit oben und sagt dem User, dass gerade etwas passiert ist. Im Gegenteil: Besonders der Wurm im Profil hätte die Möglichkeit lange unentdeckt zu bleiben, da keine Spuren sichtbar würden. Auch könnte hier Code eingeschleußt werden, der die Rechner der Spieler infiziert! Fazit: - TipMaster hat keinerlei Passwortsicherheit! - TipMaster kann als Virenschleuder missbraucht werden! kleines FAQ Was bedeutet das für die Mitspieler? Benutzt euer TM-Passwort nur beim TM! Es kann euch niemand sagen, ob es nicht bereits in falsche Hände geraten ist. Ist mein Rechner beim Surfen auf tipmaster.de in Gefahr? Vermutlich nicht, aber man kann es nicht ausschließen. Oben erwähnte JS-Würmer könnten durchaus Sicherheitslücken in Browsern ausnutzen. Man sollte sein System immer up-to-date halten! Warum mache ich diese Probleme hier öffentlich? Ich habe die Verantwortlichen des TM bereits vor über einem Jahr auf Schwachstellen hingewiesen und meine Hilfe angeboten. Es gab keine Reaktion. Vor 3 Monaten habe ich dann die Veröffentlichung angekündigt. Dies ist ein anerkanntes Vorgehen, wenn man Sicherheitsprobleme entdeckt, meldet, aber keine Reaktion erfolgt. http://en.wikipedia.org/wiki/Responsible_disclosure Abschließend möchte ich darauf hinweisen, dass ich für Rückfragen zur Verfügung stehe, weiterhin bei der Behebung der Probleme zur Mitarbeit bereit bin und keinerlei finanzielle Interessen verfolge. Andreas Samjeske
__________________
Andreas Samjeske
|
|
#3
05.10.2013, 01:25
|
||||||
|
||||||
|
Noch 2 Dinge:
- Bitte an die Moderatoren diesen Thread und meinen Beitrag stehen zu lassen. - Nur zur Klarstellung: Ich sammle keine Passwörter ein. Ich weise nur darauf hin, dass die Möglichkeit besteht und entfernt werden sollte. Ich verschaffe mir durch mein Wissen keinen Vorteil im Spiel.
__________________
Andreas Samjeske
|
|
#4
05.10.2013, 11:10
|
||||||
|
||||||
|
Also ich sehe auf der Seite von Herrn Meyer nicht sein Passwort. Im Quelltext erscheint nur mein eigenes. Wo ist der Exploit?
__________________
Thomas Sassmannshausen
|
|
#5
05.10.2013, 22:10
|
|||||||
|
|||||||
|
Zitat:
Der Exploit ist, dass von mir eingeschleußter Code dein PW anzeigen kann. Nichts für ungut, aber wer nicht versteht, dass das ein Problem darstellt, sollte sich an dieser Diskussion besser nicht beteiligen. Anstatt dein PW lediglich anzuzeigen, hätte ich es auch an mich übermittlen lassen können. Oder ich verändere direkt mal deine Tippabgabe (vor Fr 18h) oder trage Wechselabsichten auf Jobbörse oder Vereinstausch ein oder lösche einfach deinen Account o.ä.
__________________
Andreas Samjeske
|
|
#6
05.10.2013, 22:17
|
||||||
|
||||||
|
Hmm, ich muss feststellen, dass das Profil von Hans Meyer editiert wurde und der Exploit nicht mehr enthalten ist.
Liebe Spielleitung, warum nehmt ihr den Exploit aus dem Profil, aber keinen Kontakt zu mir auf? Sind weitere Maßnahmen geplant? Oder geht Alles weiter wie bisher?
__________________
Andreas Samjeske
|
|
05.10.2013, 22:31
|
| Thomas Sassmannshausen |
|
Dieser Beitrag wurde von Thomas Sassmannshausen gelöscht.
Grund: sorry
|
|
#8
17.03.2014, 22:13
|
|||||||
|
|||||||
|
Zitat:
Ich bin damals davon ausgegangen, dass hier endlich mal jemand aktiv geworden ist. Es wurde aber lediglich der Demo-Exploit entfernt, nicht die Sicherheitslücke! Was muss denn passieren, damit sich hier mal was ändert? Habe gerade noch nen weiteres Problem bemerkt: Die Anmeldung spuckt E-Mail-Adressen von Mitspielern aus, wenn man versucht sich unter einem Namen anzumelden, der bereits existiert.
__________________
Andreas Samjeske
|
|
#9
05.10.2013, 22:43
|
||||||||||
|
||||||||||
|
Zitat:
Zitat:
 Zitat:
Zitat:
 Im ernst: Hab das eben falsch verstanden. Dachte Du würdest durch das Besuchen der Seite unsere PWs abfischen. Dann wäre ich wohl eher zur Polizei gegangen, weil das glaube ich, nicht legal ist
__________________
Thomas Sassmannshausen
|
|
#10
05.10.2013, 22:50
|
||||||
|
||||||
|
Mal ne Frage: Diese Javascript Dinger, die man ins Profil einbaut, die liegen ja nicht auf dem Tipmaster-Server. Also würde bei Surfen mit noscript, etc. doch nix passieren, oder?
__________________
Thomas Sassmannshausen
|
|
| Themen-Optionen | |
| Ansicht | |
|
|
TuS Binzen 
Pennarossa Chiesanuova 
Rayo Vallecano 
Atvidabergs FF 
Hybrid-Darstellung
