Archiv

Artikel Tagged ‘fail’

XSS Schwachstelle im DGB Portal?

17. März 2017 Keine Kommentare

Eigentlich wollte ich ja nur eine Resolution gegen die Privatisierung von Autobahnen unterschreiben, auch wenn ich von derartigen Petitionen und Resolutionen eigentlich nicht viel halte. Es wäre sicherlich ein schönes Mittel und auch etwas, dass der Bürger gerne und einfach nutzen könnte, aber sind wir ehrlich, wie viele Petitionen haben denn schon wirklichen Erfolg gebracht?
Das dürften recht wenige sein wie ich meine, aber dennoch, wenn einem dann so etwas begegnet muss man 2017 doch schon extrem hart lachen oder?

Die Betreiber wurden natürlich über die Schwachstelle informiert.

KategorienAllgemein Tags: , , , , ,

Nein, ich war nie ein Soldat und nein, keine Diplomarbeit für den Akademikerverlag

14. März 2017 Keine Kommentare

Sicher kennt man es, immer wieder flattern einem fadenscheinige Möglichkeiten in die Mailbox um Geld zu verdienen, mit tollen Börsenprogrammen oder als Manager in super Positionen, mich erreichte nun wiederholt eine ziemlich dusselige Anfrage:

Sehr geehrter Herr Berger,

hätten Sie Fragen zu unseren Leistungen?
Ich würde mich sehr freuen, die Möglichkeit zu bekommen, Ihr Manuskript zu bewerten und mit Ihnen gemeinsam auf seine Veröffentlichung zuarbeiten zu können.
Bitte bestätigen Sie Ihr Interesse und senden Sie mir zur internen Beurteilung Ihr Manuskript zu (in PDF- oder Word-Format).
Ich werde Sie anschließend entsprechend beraten, Herr Berger.

Mehr…

CVE-2014-0160 und Debian mit Parallels Plesk Fail! *Update*

11. April 2014 2 Kommentare

heartbleedNach wie vor in aller Munde eine kurze Meldung zum Thema Heartbleed, Debian und Plesk.
Mit dem neuen Debian libssl Paket kommt laut Changelog auch die Nachricht, dass betroffene Dienste neu gestartet werden sollten, so das Changelog von Debian:

* Enable checking for services that may need to be restarted
* Update list of services to possibly restart

So kommt nach der Installation eine schoene Box in der ein paar Dienste aufgelistet werden und ein voreiliger Admin wiegt sich danach in Sicherheit, jedoch vorsicht ist angesagt, denn es werden nicht alle Dienste neu gestartet, Paradebeispiel hierfuer ist Debian mit Plesk und Nginx Combo.
Seit Plesk 11.x kommt Nginx als Caching Proxy fuer statische Inhalte mit auf die Server (zumindest in der Standardconfig). Debian startet aber Nginx nicht neu nach dem Update und von daher bleibt die Luecke bestehen, daher unbedingt nach dem Einspielen des Updates pruefen ob auch wirklich alle Dienste sicher sind, die Windowsmethode neustart ist hier durchaus angebracht.

Wieso ich hier ausdruecklich Plesk schreibe? Weil ich weiss das Plesk sich eigenen Paketen bedient und auch die Verwaltung des Startens von Nginx uebernimmt, ich weiss nicht ob sich der Fehler auf Debian Systemen ohne Plesk ebenfalls reproduzieren laesst.

UPDATE: thekingofroots hat das Szenario ohne Plesk durchgespielt und teilt mit, dass Debian Nginx neu startet nach dem libssl Update, danke dafuer.
Es scheint also der direkte Zusammenhang gegeben zu sein zwischen Plesk installiert Nginx und Debian startet diesen nicht neu nach libssl Updates.

Facebook, Design Fehler in den Privatsphaeren Einstellungen

8. Februar 2013 Keine Kommentare

facebookVor einigen Tagen erreichte mich ein befreundeter Forensiker, Marko Rogge von Omega Defense mit einer Frage zu Android, wie sagte er?: „Du kennst Dich doch mit Android besser aus als der Standard User?“, Marko ist im Zuge einer forensischen Auswertung aufgefallen das die Android Facebook App recht viele Daten auf das Mobile schaufelt ohne das hier eine Erlaubnis fuer den Sync gegeben wurde, ein reines installieren und einmaliges Anmelden in dieser war ausreichend um neben allen Profilbildern und Kontakten, alle Privatnachrichten und auch Kontaktadressen auf das Geraet zu schaufeln.
Interessant war vor allem die Tatsache, dass scheinbar versteckte Mailadressen auch auf dem Geraet landen, aber wie wir feststellen konnten nicht alle und so begann die Suche was denn hier passiert ist, am Ende stellte sich heraus das es einen Fehler im Design der Privatsphaeren Einstellungen von Facebook gibt, hier lassen sich Mailadressen zwar fuer Freunde freischalten, jedoch im gleichen Atemzug auf der Webseite von der Timeline/Chronik verstecken, schlaue Idee. Mehr…

Plesk Update 8 auf 10 schlaegt fehl, Plesk nicht mehr erreichbar…

22. August 2011 Keine Kommentare

Nach einem Debian Update von Debian 4.x auf 5.x und einem fehlgeschlagenen Plesk Update ist erst einmal guter Rat teuer, Plesk war nicht mehr erreichbar, startet auch nicht mehr und wer die Logging Routinen von Plesk kennt, der weiss, das ist nun kein Spass mehr. Im vorliegenden Fall ist ein Update von Plesk 8.6.0 auf 9.x respektive 10.x fehlgeschlagen und aeusserte sich wie folgt: Mehr…

Sony vs. Hotz – Die Einigung aka Geohot knickt ein

11. April 2011 Keine Kommentare

Sony und George Hotz aka Gehot haben sich scheinbar geeinigt und das war es dann mit George und seinen Hacks, ein feiger Zug, viel mehr erwartet habe ich von dem Kleinen aber auch nicht nur schade.
Er kehrt somit der Hackergemeinde den Ruecken zu, ob nun fuer ihn die beste Wahl oder nicht, das soll jeder fuer sich selbst entscheiden, aber nach der Welle¹ die er gemacht hat, haette man eigentlich mehr erhoffen koennen, aber er ist eingeknickt. Dicke Sprueche, nichts dahinter und er hatte die Chance das wirklich auszufechten, stand ihm doch ein grosser Konzern im Ruecken, nun hoffen wir natuerlich alle auf den Grafen Chokolo, ob dieser auch so wenig Rueckrat zeigt? Ich glaube es ja nicht. Mehr…

Geschichten einer Personensuchmaschine: Yasni

8. Februar 2011 15 Kommentare

Ein Bekannter von mir bloggte heute ueber Personensuchmaschinen wie Yasni und 123people und ueber sein Rechtsempfinden und die schlechten Moeglichkeiten seine Daten von derartigen Seiten loeschen zu lassen, eigentlich bin ich nicht seiner Meinung, aber fangen wir einfach einmal an:

Personensuchmaschinen wie Yasni oder 123people sammeln Daten über meine Personen und führen diese Zusammen, was nach meinem Rechtsempfinden unter anderem gegen einige Datenschutzrichtlinien verstossen:…

Hier liegt unimatrix leider nur fast richtig, denn diese Suchmaschinen haben sich rechtlich abgesichert, Interessant aber die boese Behauptung das Yasni sammelt, dazu kommen wir gleich, weiterhin bloggt unimatrix: Mehr…

Expertenattrappe Tobias Schroedel bei SternTV

13. Januar 2011 3 Kommentare

Gestern bei meiner Lieblingsserie, TrueBlood, welche ich mir angeschaut habe (auf original DVD!) bekam ich eine Nachricht von einer Bekannten, auf SternTV ist gerade ein Bericht ueber Hacker, koennen die echt so einfach in meinen Studi Account einbrechen und meine Daten bzw mein Konto klauen?
Oh je, da ist sie wieder, die Panikmache ueber die boesen Hacker, also das getan was ich immer tue, erst einmal fuer Aufklaerung gesorgt und den Unterschied erklaert zwischen Hackern und Cracker und wie sowas zu Stande kommt. Schnell kam die naechste Frage: Wieso habe ich keinen Virenscanner, ich brauche sowas doch und eine Firewall auch, hier spricht gerade ein „Hacker“ und „Sicherheitsexperte“. Mehr…

Apple, der iPod und ich… *update*

16. Dezember 2010 Keine Kommentare

Ja nun kann ich ganz mitreden, wie man weiss ja sicherlich kein Apple Fan und kann diesen ganzen Hype um den Muell der dort gebaut wird nicht verstehen, sicherlich hatte Apple damals als PPC (Bsp. fuer Videoschnitt und Grafikbearbeitung) seine Daseinsberechtigung doch mitlerweile mit Intel Inside ja wohl kaum noch, aber nun zum Thema, es ist Weihnachten und t4c hat ein Geschenk erreicht, ein tolles Geraet aus dem Hause Apple, ich habe nun einen iPod Shuffle.
Grosse Freude… Mehr…

CDU-Politiker Axel E. Fischer gegen Pseudonyme

18. November 2010 Keine Kommentare

Die Diskussion ist ja nun schon etwas aelter jedoch wurde ich von meinem guten Freund Mike gebeten das ich doch auch einmal meine Meinung zu Fischers merkbefreiten Aussage abliefern sollte und naja das tue ich nun einfach mal, fangen wir jedoch von vorne an.
Der Politiker Fischer moechte ein Ende der Pseudonymisierung im Internet erreichen, es kann schliesslich nicht sein das man sich im Internet mit Fantasienamen eigene Identitaeten schafft und hier womoeglich noch zu irgendwelchen Themen Stellung nimmt.

Für den demokratischen Entscheidungsprozess sei es wesentlich, „dass man mit offenem Visier kämpft, also seinen Klarnamen nennt“, sagte Fischer. Dabei sei der neue Mehr…