Wie veröffentlich man Sicherheitslücken?

-humi- · Jan 6, 2012

Es wird einem nicht gedankt
Click to expand...

ach nicht?
hier nochmals....... tut mir leid, dass ich nicht mit nem Orchester und nem Riesenscheck auftauchen kann
wie gesagt, es ist Wochenende, und in den meisten Berufen ist es numal so, dass das WE frei ist..... btw: ich darf morgen malochen
.
.
.

magiceye04 · Jan 6, 2012

Ich bin der Meinung, man sollte erst den Betroffenen informieren. Und zwar nicht öffentlich.

Meiner Erfahrung nach passiert bei der PCWELT übers Wochenende nicht all zu viel. Vielleicht hat sich das ja inzwischen geändert.
Aber wenn es irgendwas Gravierendes ist, gäbe es sicher Möglichkeiten, einen Verantwortlichen zu erreichen.

Ich surfe ja grundsätzlich ohne Scripte und erlaube die nur in Ausnahmefällen, von daher juckt es mich eher nicht.

xbh · Jan 6, 2012

Lässt sich das Problem vielleicht auf die reale (im sinne vom Computerlose) welt übertragen?

Beispiel:

Ich bin Selbstständiger Gebäudesicherheitsspezialist (jemand der sicherheitstüren und alarmanalgen entwirft) und gehe eher privat als geschäftlich in einem gewaltig großen Kaufhaus einkaufen. Dabei komme ich an einigen läden vorbei, wo ich von weiten sehen kann, das man wohl kein weltklasseverbrecher sein muss, um die verhältnismäßig sehr teuren produkte zu stehlen, die nach gängigen standards deutlich besser gesichert sein müssten. Da eine grobe vermutung nicht ausreicht, betrachte ich den laden, die schlösser ganz genau und stelle fest, das (mal ganz einfach gesagt) eine tür in den laden führt, welche weder sicherheitsschloss noch alarmanlage besitzt und sich von jedem drittklassigen einbrechner mit einem dietrich öffnen liese.

Nun ist meine neugier gestillt, ich weis nun dass der laden unsicher ist. Auf arbeit werde ich ja sehr sehr gut bezahlt, um meinen kunden solche tipps zu geben. Jetzt habe ich mich hier schon zwei stunde umgesehen, und ehe ich jemanden gefunden habe, der meinen hinweis versteht und auch ernst nimmt dauert es vielleicht auch nochmal zwei stunden, für die mich wohl keiner bezahlt.

Ich stehe nun also vor der entscheidung, wie ich mit der situation am besten umgehe. ich sehe folgende möglichkeiten:

1. ich geh einfach und freue mich, gefunden zu haben was ich suchte, leider aber mit dem bitteren beigeschmack, das jeden tag jemand einbrechen und nicht nur dem unternehmen, sondern auch dessen kunden schaden könnte.

2. Dem Verkäufer das Problem mitteilen und hoffen, das er das auch wirklich an den verantwortlichen weitergibt.
Bei einem komplizierten sachverhalt besteht womöglich die gefahr, das der angestellte nur die hälfte versteht oder gar die security ruft, weil er denkt das ich etwas vor habe. Damit bin ich in 5 Min aus dem laden, vermute aber, das bei meinem nächsten besuch wohl eher nichts passiert ist.

3. Ich Frage frage mich die ganze unternehmenshierachie nach oben bis ich jemanden gefunden habe, der weis wovon ich rede. Der will alles darüber wissen und ich teile mit ihm meine 10-Jährige Berufserfahrung. Nachdem er alles weis was er wissen muss gibt er mir einen feuchten händedruck. Ich Frage ihn, ob ich ihm meine Zeit in Rechnung stellen kann oder ob ich irgend einen ausgleich erhalten kann, auch wenn es so klingt wie als würde ich um spenden bitten. Mit etwas glück gibt mir der chef einen auftrag, die anderen filiaen auch noch zu überprüfen, wahrscheinlicher ist aber, das er nun denkt das problem sei entgültig gelöst und die sache zu ende. Ich habe, wärend ich länger da rumstand, noch mehr mögliche probleme gesehen, Nur wie soll ich das verkaufen?

4. Ich trete an die Firma heran und teile ihnen mit, das ich ein echtes sicherheitsproblem gefunden habe, und ich gern einen vertrag darüber abschließen würde, wie sich vergütet werde, falls sich diese lücke bestätigt.
Leider nimmt es keiner ernst, schließlich ist bisher ja auch noch kein Einbruch passiert, und ich klinge eher wie ein Klingelputzer als wie jemand, der ein ernsthaftes anliegen hat. Wenn ich aber das Problem und dessen mögliche wirkungen weiter verdeutliche, ohne so konkret zu werden, das sie es elbst finden und beheben können, befürchte ich, das man mich für einen erpresser hält. Natürlich muss ich auch ein nein akzeptieren können und gehen, es ist ja nur ein angebot, die lücke denen mitzuteilen.
Click to expand...

Vermutlich geht die richtige vorgehensweise in richtung von 3. und 4., jedoch weis ich nicht, ob man sowohl seine vergütung sicherstellen als auch rechtlich auf der sicheren seite sein kann. Fällt jemanden eine andere Möglichkeit ein?

-humi- · Jan 6, 2012

er hat ja nun seinen Ansprechpartner gefunden.... und die Redaktion wird sich ggf bei ihm melden....

DanielWalter · Jan 6, 2012

magiceye04 said: ↑

Ich surfe ja grundsätzlich ohne Scripte und erlaube die nur in Ausnahmefällen, von daher juckt es mich eher nicht.
Click to expand...

Das reicht leider nicht! Von der Lücke sind alle betroffen, Scripte hin oder her! Das macht nochmal gut deutlich wie eklatant die Sache ist!

magiceye04 · Jan 6, 2012

Inwiefern?
Wie außer mit Scripten sollte mir persönlich Schadcode untergejubelt werden?
(daß alle anderen in der Regel völlig ungesichert durchs Netz surfen, ist mir bewußt, aber wurscht)

DanielWalter · Jan 6, 2012

Es gibt hunderte Sicherheitslücken mit denen man dich durch XSS kompromittieren könnte. Ein Angreifer kann ein Flash Objekt einbinden und dich über deinen Flashplayer hacken. Oder ein PNG Bild und deinen Browser direkt hijacken. Oder oder oder....
Eine der vielen Sicherheitslücken die in all unseren Programmen stecken. Nicht aus Spass zahlt Google für gefundene Bugs im Chrome Browser.
Das sind alles keine Scripte und dennoch kannst du über XSS gehackt werden.

magiceye04 · Jan 6, 2012

DanielWalter said: ↑

Es gibt hunderte Sicherheitslücken mit denen man dich durch XSS kompromittieren könnte. Ein Angreifer kann ein Flash Objekt einbinden und dich über deinen Flashplayer hacken. Oder ein PNG Bild und deinen Browser direkt hijacken. Oder oder oder....
Eine der vielen Sicherheitslücken die in all unseren Programmen stecken. Nicht aus Spass zahlt Google für gefundene Bugs im Chrome Browser.
Das sind alles keine Scripte und dennoch kannst du über XSS gehackt werden.
Click to expand...

Flash lass ich natürlich erst Recht nicht zu. Schon gar nicht von fremden Seiten.
Wenn in Bildern Code versteckt werden kann, vertraue ich auf die fast täglich reinschneienden Browser-updates.

Nur mal zum Verständnis von XSS: Man kann derzeit als Außenstehender auf dem Server von PCWELT fremde Inhalte in bestehende Seiten einbauen?

DanielWalter · Jan 6, 2012

Exakt! Egal welcher Art. Javascript, Java, Flash, Bilder, Musik, Videos, VisualBasic, ActiveX und noch sachen von denen auch ich nichts weis

kazhar · Jan 6, 2012

magiceye04 said: ↑

Nur mal zum Verständnis von XSS: Man kann derzeit als Außenstehender auf dem Server von PCWELT fremde Inhalte in bestehende Seiten einbauen?
Click to expand...

nicht auf dem pcw-server. aber man kann den browser dazu bringen, inhalte, die von anderen servern stammen nachzuladen, so als wären sie vom pcw-server.

Log in or Sign up

Wie veröffentlich man Sicherheitslücken?

-humi- Joker

magiceye04 Wandelndes Forum

xbh ROM

-humi- Joker

DanielWalter Byte

magiceye04 Wandelndes Forum

DanielWalter Byte

magiceye04 Wandelndes Forum

DanielWalter Byte

kazhar Viertel Gigabyte

Share This Page