Archive: Month 9, Year 2010

Teliad und das XSRF-Problem

28.09.2010 yahe legacy security thoughts

Schon mehrfach habe ich auf Dienste hingewiesen, die anfällig für XSRF-Attacken waren. Heute habe ich mir einmal angesehen, wie es mit der Sicherheit des Webmarketing-Anbieters "Teliad" aussieht.

Wie es der Zufall so wollte, war auch Teliad anfällig für genau die gleichen Attacken.

Read more »


Bandcamp vs. Greasemonkey

27.09.2010 yahe code legacy security

Ich wurde letztens vom Deutschlandradio Kultur gefragt, ob ich für ein Interview zur Sicherheit der Musikplattform Bandcamp zur Verfügung stehen würde. Für das Interview hatte ich extra ein kleines Greasemonkey-Script geschrieben, um zu zeigen, wie sich die Nachlässigkeit der Bandcamp-Programmierer auf die Umsätze eines Künstlers auswirken könnte. Leider wurde das Interview nun abgesagt, da das Bandcamp-Thema wohl nicht mehr eine so hohe Priorität hat. Trotzdem wollte ich den Nutzern von Bandcamp gern mal vor Augen führen, worauf sie sich einlassen, wenn sie Bandcamp als Vertriebspartner nutzen wollen.

Read more »


CPAU die Logindaten unter dem Arsch weg klauen

27.09.2010 yahe code legacy security windows

Ich finde es ja immer wieder interessant, wenn Hannes Schurig (@SchurigH) erklärt, wie ihm das Tool CPAU hilft, seine Administratorenaufgaben zu erledigen. Besonders spannend finde ich es, wenn er erklärt, wie es damit möglich ist, dem einfachen Nutzer Administratorenrechte zu geben, um eine Anwendung auszuführen, ohne, dass der Nutzer die eigentlichen Logindaten erfährt. Möglich ist das bei dem Programm dadurch, dass man sogenannte Job-Dateien erstellt, in denen der auszuführende Befehl inklusive der Accountdaten des Administrators verschlüsselt abgelegt wird. Letztens hat Hannes damit sogar ein Script gebaut, mit dem von einem Netzlaufwerk Programminstallationen ausgeführt werden können, natürlich wieder geschützt durch die Job-Dateien von CPAU.

Mich hat vor allem die sichere Verwahrung der Accountdaten fasziniert, denn wenn man sich das Tool genauer ansieht, erkennt man, dass für die Verschlüsselung der Job-Dateien gar kein Passwort angegeben werden muss. Ich dachte mir "Es müsste doch möglich sein, diese Job-Dateien auch wieder zu entschlüsseln.".

Read more »


Benutzerlogin via SMTP überprüfen...

21.09.2010 yahe code legacy

Ich habe zur Zeit den Fall, dass ich überprüfen muss, ob jemand Zugriff auf bestimmte Daten haben darf. Der entsprechende Personenkreis bekommt von mir allerdings einfach nur einen E-Mail-Account auf einem meiner Server zugewiesen und ehrlich gesagt habe ich keine Lust, zwei Benutzerverwaltungen mit entsprechendem Passwortabgleich oder ähnliches zu betreiben.

Deshalb habe ich mir gedacht "Warum teste ich nicht einfach, ob die Person einen gültigen E-Mail-Account bei mir hat?".

Read more »


Search

Links

RSS feed RSS feed

Categories

administration (45)
arduino (12)
calcpw (3)
code (38)
hardware (20)
java (2)
legacy (113)
linux (31)
publicity (8)
raspberry (3)
review (2)
security (65)
thoughts (22)
update (11)
windows (17)
wordpress (19)