|
|
|
|||||||
| Registrieren | Chat | Hilfe | Benutzerliste | Kalender | Suchen | Heutige Beiträge | Alle Foren als gelesen markieren |
 |
|
|
Themen-Optionen | Ansicht |
|
|
|
#1
|
||||||
|
||||||
Also ich sehe auf der Seite von Herrn Meyer nicht sein Passwort. Im Quelltext erscheint nur mein eigenes. Wo ist der Exploit?
__________________
Thomas Sassmannshausen
|
|
#2
05.10.2013, 21:10
|
|||||||
|
|||||||
|
Zitat:
Der Exploit ist, dass von mir eingeschleußter Code dein PW anzeigen kann. Nichts für ungut, aber wer nicht versteht, dass das ein Problem darstellt, sollte sich an dieser Diskussion besser nicht beteiligen. Anstatt dein PW lediglich anzuzeigen, hätte ich es auch an mich übermittlen lassen können. Oder ich verändere direkt mal deine Tippabgabe (vor Fr 18h) oder trage Wechselabsichten auf Jobbörse oder Vereinstausch ein oder lösche einfach deinen Account o.ä.
__________________
Andreas Samjeske
|
|
#3
05.10.2013, 21:17
|
||||||
|
||||||
|
Hmm, ich muss feststellen, dass das Profil von Hans Meyer editiert wurde und der Exploit nicht mehr enthalten ist.
Liebe Spielleitung, warum nehmt ihr den Exploit aus dem Profil, aber keinen Kontakt zu mir auf? Sind weitere Maßnahmen geplant? Oder geht Alles weiter wie bisher?
__________________
Andreas Samjeske
|
|
05.10.2013, 21:31
|
| Thomas Sassmannshausen |
|
Dieser Beitrag wurde von Thomas Sassmannshausen gelöscht.
Grund: sorry
|
|
#5
17.03.2014, 21:13
|
|||||||
|
|||||||
|
Zitat:
Ich bin damals davon ausgegangen, dass hier endlich mal jemand aktiv geworden ist. Es wurde aber lediglich der Demo-Exploit entfernt, nicht die Sicherheitslücke! Was muss denn passieren, damit sich hier mal was ändert? Habe gerade noch nen weiteres Problem bemerkt: Die Anmeldung spuckt E-Mail-Adressen von Mitspielern aus, wenn man versucht sich unter einem Namen anzumelden, der bereits existiert.
__________________
Andreas Samjeske
|
|
#6
05.10.2013, 21:43
|
||||||||||
|
||||||||||
|
Zitat:
Zitat:
 Zitat:
Zitat:
 Im ernst: Hab das eben falsch verstanden. Dachte Du würdest durch das Besuchen der Seite unsere PWs abfischen. Dann wäre ich wohl eher zur Polizei gegangen, weil das glaube ich, nicht legal ist
__________________
Thomas Sassmannshausen
|
|
#7
05.10.2013, 21:50
|
||||||
|
||||||
|
Mal ne Frage: Diese Javascript Dinger, die man ins Profil einbaut, die liegen ja nicht auf dem Tipmaster-Server. Also würde bei Surfen mit noscript, etc. doch nix passieren, oder?
__________________
Thomas Sassmannshausen
|
|
#8
05.10.2013, 23:28
|
|||||||||||
|
|||||||||||
|
Zitat:
Zitat:
Zitat:
Witzigerweise speichert auch communio PWs im Klartext auf ihrem Server. Dort habe ich darauf hingewiesen, dass das nicht mehr state-of-the-art ist. Antwort: "So isses für uns und unsere Nutzer am einfachsten!" Ja, klar, einfach. Aber eben nicht so sicher, wie es sein könnte/sollte. Zitat:
Zitat:
Allerdings könnte man auch versuchen malicious code komplett im Profil unter zu bringen. Da ist dann vermutlich die Größe des Datenbankfeldes der begrenzende Faktor. Existiert keine Größenbeschränkung, biste doch wieder in Gefahr. Dein Passwort isses in jedem Fall! Das Sessionmanagement zu überarbeiten ist zwar angeasgt, aber nicht dringend. Die Scriptinglücken müssen aber umgehend geschlossen werden!
__________________
Andreas Samjeske
|
|
#10
09.10.2013, 19:50
|
||||||
|
||||||
|
Ich finde das auch sehr schade, das es durchaus ein paar fähige Leute gibt, die FREIWILLIG und UNENTGELDLICH das Problem anpacken könnten, wenn mal jemand aus der Chefsesseletage "Grünes Licht" geben würde, was aber scheinbar nicht passiert oder auch nicht gewollt ist (?)
 Leider kann man hier Niemanden wie in der Politik (die FDP) abwählen.
__________________
Tino Lehmann
|
|
| Themen-Optionen | |
| Ansicht | |
|
|
SV 1911 Setzen 
Atvidabergs FF 
Rayo Vallecano 
Eintr. Koenigs-Wusterhsn. 
Skeid Oslo 
Hybrid-Darstellung
