Zur "Bierkiste" und den zwei "SQL-Injections".

Die Diskussion läuft per Mail. Die Voraussetzung für die von mir ausgelobten 2 Bierkisten war ausschließlich, das Ganze an Jan zu melden, und das ist erfolgt. Jan hat es mir weitergeleitet.

Ein realer Angriffsvektor "So kann man SQL auf Datenbanken beim PuF.Server injecten" ergibt und ergab sich daraus nicht. Die Diskussion dreht sich darum, wie unschön oder eventuell gar gefährlich das sonstige Verhalten des Servers bei "böswillig häßlichem" Input ist. An der Stelle gibt es noch keinen Konsens. Mein persönliches Vertrauen zum Server ist nicht angekratzt.

Ich würde mich nicht als vorrangigen Security-Professional bezeichnen, zu meinen beruflichen Aufgaben gehört aber auch, Security-Findings bei einem Konzern zu bewerten.

Ganz interessant.

Im Detail gehen die Meinung dahingehend auseinander, in wie weit ein interner Serverfehler einer java.Text.ParseException mit kompletten Stacktrace, RegEx und dem zurück an den Webbrowser geworfen, nicht validierten Eingabewert ein Sicherheitsrisiko darstellt oder einfach nur "unschön" ist.

Es ist meiner Lesart nach eine Schwachstelle, die für Session-Diebstahl und (das wird schwieriger) Reverse Shells gerne verwendet wird.

Bis Ende der Woche habe ich von Jan grünes Licht ein wenig gegen die WEbsite zu klopfen. Mal sehen, ob ein Proof of Concept dabei rausfällt oder nicht.

Denkst du an eine berufliche Nebenstelle oder einen Alterswohnsitz?

Ich hab ja schonmal die Idee von ein paar Fliegervillen für Segelfanatiker auf der Südseite "gepitcht", auch wenn dafür Peenemünde viel besser geeignet wäre. Aber hier hat meine eine formale Großstadt in einer Autostunde von Hamburg.

Seit der Umstellung muss mich mehrmals (2-4 mal) in der Woche neu Einloggen. Reingelesen wird täglich, geschrieben selten.... ist es Zufall, Absicht, passiert bei Anderen auch oder liegt es an mein IPhone 6S?

Zusatzinfo: Bei anderen Foren bleibe ich über mehreren Monaten eingeloggt.

Ich habe das Problem auch mit meinem iPad

Habe weder unter Android noch Windows das Problem. Ggf Apple Problem?

Ich finde das "Problem" ja ausgesprochen handlich, alle ein bis zwei Tage zusätzlich noch meinen Finger auf den Sensor beim Macbook zu legen, um meine Credentials einzutragen.

Es gibt m.E. drei Möglichkeiten:

• Jan startet den Server durch, und die Sessions werden ungültig (dann beträfe es aber auch Droiden)
• Die neue Apple-Policy gegen Tracking-Cookies greift (die aber eigentlich die primäre Webseite verschonen soll)
• Die Sessiongültigkeit wurde runtergedreht (auch das beträfe natürlich auch Droiden)

selbst mit meinem 386 und w98ME ....kein problem...

kein Problem unter iOS 12.4 (iPhone und iPad) und unter Mac OS 10.14.6 als auch unter Windows 10.0...

Ggf. unter iOS (zu früh) auf 13. x geupdated?

Der IOS 13er ist erst seit 3-4 Wochen da. Die Umstellung hat im Frühjahr stattgefunden.

Ich glaube mich zu erinnern direkt nach der Umstellung anfangs immer Sonntags einlogen zu müssen und mit der Zeit dann häufiger aber immer noch vor der 13er Version. Letzte Zeit dann noch häufiger, vielleicht hängt mit den IOS 13er zusammen.

@ingo: kommst du überhaupt damit ins Internet? Glaube nicht!

Kommt er bestimmt. Ich habe ein altes IBM Notebook, mit WIN98 drauf und sogar WLAN Karte drin als MP3 Player und Webradio zweckentfremdet. Läuft seit x-Jahren wunderbar.

Ich muss mich jedesmal neu einloggen. Windows und Firefox.

Ich muss mich bei zwei von drei Firefüxen jedesmal nach Fensterschliessen anmelden. Hängt evtl. mit Cookies oder Cache zusammen.

hast du ne ahnung....die NSA ist zweimal im monat bei mir und heult sich aus, weil sie in das scheiß ding nicht eindringen können und damit nicht die trump-merkel-leckileaks lesen können...also...alte technik schützt manchmal mehr als neue....meinen röhrenfernseher von AEG hab ich jetzt auch internettauglich gemacht....mosaik ist zwar etwas langsam...aber es ist erträglich...

mfg

ingo fuhrmeister