Login: 
Passwort: 
Neuanmeldung 
Passwort vergessen



Das neue Heft erscheint am 1. März
Wartung: PT6-Probleme
Erinnerungen an das Reno Air-Race
Aktuelle Neuerungen für die GA in Europa
Rigging: Einmal geradeaus bitte!
Innsbruck bei Ostwind
Unfall: De-facto Staffelung am unkontrollierten Flugplatz
Engagierter Journalismus aus Sicht des eigenen Cockpits
Engagierter Journalismus aus Sicht des eigenen Cockpits
Sortieren nach:  Datum - neue zuerst |  Datum - alte zuerst |  Bewertung

85 Beiträge Seite 1 von 4

 1 2 3 4 
 

14. Dezember 2018: Von Tee Jay an Jan Brill

Auf observatory.mozilla.org sehe ich, daß Ihr die Tage fleissig gewesen seid ;-)
Wenn ich ein paar Cents beitragen darf:

  • Eure CSP wirft zumindest bei mir Fehler (* bei img-src?) raus
  • Referrer werden gepetzt, kann mit dem Server Header "Referrer-Policy: no-referrer" unterbunden werden
  • HSTS ist zwar implementiert aber nicht auf der Preload-List
  • SSL Labs zeigt Euch noch eine Menge Uralt und Weak Cipher an, würde ich zusammen mit TLS 1.0/1.1 wegmachen

Was mir aber ganz und gar nicht gefällt ist was mir nmap an offenen Ports rauswirft.

139/tcp open netbios-ssn Samba smbd
445/tcp open netbios-ssn Samba smbd

Alle Ports gerade die Plesk und sonstigen wie 8001, 8003, 8443, 8811, 8880, 9011 dicht machen alles nur durch einen openVPN/SSH Tunnel zugänglich machen:

14. Dezember 2018: Von Willi Fundermann an Tee Jay Bewertung: +4.00 [4]

"Was mir aber ganz und gar nicht gefällt ist..."

Da wird sich der Forumsbetreiber aber grämen, dass es nicht gefällt!

Auf einen solchen oder ähnlichen Beitrag konnte man warten. Hat aber doch relativ lange gedauert.

14. Dezember 2018: Von  an Willi Fundermann

Ich fand, dass der Beitrag etwas kurz war. Und besonders erstaunt mich, dass er die echten Schwächen des Systems nicht erkannt hat! (;-))

14. Dezember 2018: Von Achim H. an Willi Fundermann Bewertung: +4.00 [4]

Auch wenn's ne Kalltüte ist mit maximal Halbwissen zu fliegerischen und IT-Themen, kann er auch mal valide Punkte aufbringen...

Bis man jede aktuell in Mode befindliche Abwehrstrategie in seinen Server eingebaut hat, wird man schwarz. Ich habe auch schon stundenlang an CSP und anderem Zeugs rumgefummelt, bis alle Nebenwirkungen beseitigt waren. Sobald man fertig ist, kommt der nächste Chinese/Russe/etc. um die Ecke mit neuen Angriffsvarianten.

14. Dezember 2018: Von Achim H. an Willi Fundermann
Beitrag vom Autor gelöscht
15. Dezember 2018: Von Tee Jay an Tee Jay

Wie ich sehe sind die offenen SMB Ports raus, anbei weitere Findings:

Ob man mit einem Jigsaw 2.2.5 Application-Server aus dem Jahr 2005 (warum nicht die "aktuelle" Version 2.2.6 aus 2007?) heute noch was reissen kann wage ich zu bezweifeln. Immerhin sitzt noch ein Apache als Reverse Proxy davor, doch wirklich helfen tut das nicht. Ich tippe hier auf technologische Schulden der verwendeten Redaktions-/Foren-/Abo-Software?
Was ich aber nicht verstehe: Jetzt habt Ihr eine schöne CSP eingerichtet und war sichtlich bemüht, bei Mozilla Observatory ein schönes Ranking (von F auf B+) zu erreichen. habt aber pauschal "eine CSP für alles" ausgerollt. Euer Horde Webmailer hat die gleiche wie die PUF Hauptseite? Das ist unschön, denn der Vorteil einer CSP ist gerade der, daß diese auf die nur wirklich benötigten Ressourcen pro Web eingestellt werden kann. Stattdessen haut Ihr da sowas wie ein img-src:* rein. Sorry, das ist schlampig! Dann kann man sich eine CSP auch schenken.
Verringert noch mehr Eure Angriffsoberfläche. Packt SSH und Plesk hinter ein OpenVPN. Ihr verlasst Euch da zu sehr auf die Funktionen der bescheidenen Plesk Software (2FA eingerichtet?). Ich kann nur jedem empfehlen, der sein Business auf Webdiensten oder offen zugänglichen REST APIs aufbaut, dieses nicht ohne eine Firewall mit IDS/IPS + Snort Rules dvor zu machen. Hier mal ein Negativbeispiel wo ich kürzlich ein Sicherheits-Audit durchführen durfte. Allein schon der Umstand, daß ich mit meinen Scannern so "laut" und mit viel "Krach" mich frei auf Eurem Server bewegen konnte, ist schon zu viel. Jedes kostenlose ipfire.org hätte das automatisch unterbunden und nebenher mit seinen GeoIP-Filtern auch jeden bösen Chinesen direkt bannen können, ohne den Web- und Applicationserver damit zu belasten.
15. Dezember 2018: Von Andreas KuNovemberZi an Tee Jay

Ich kann zwar nicht so toll mit IT Fachbegriffen um mich werfen, aber mitteilen, das auf meinem iPad die grafischen Elemente nicht mehr funktionieren. Auf dem iPhone (mobile Version?) sieht es gut aus.

15. Dezember 2018: Von Friedhelm Stille an Tee Jay Bewertung: +20.33 [21]

Nette Analyse. Sehr unprofesionell, diese hier im Forum öffentlich zu posten.

15. Dezember 2018: Von Tee Jay an Friedhelm Stille

Ach Gottchen, das ist doch noch lange keine Analyse. Das war in 3 Minuten im Vorbeigehen aufgesammelt, nichts was ein böser Chinese, Russe oder Ukrainer nicht längst schon wissen um hier die gängigen Stereotypen zu bedienen.

Wenn Jan schon martialisch mit Totenköpfen freundliche Grüße an irgendwelche "nimmermüden Schürfer-Scripte" schickt, so verdient er es zu erfahren, was diese so wissen.

Ich sage Dir mal was eine Analyse wäre: Wenn der Bildupload inkl. serverseitiges Parsing der EXIF Informationen einmal analysiert würde, wie es sich mit manipulierten Dateien mit entsprechender Payload verhält. Was passiert eigentlich, wenn ich

15. Dezember 2018: Von Jan Brill an Tee Jay
Beitrag vom Administrator gelöscht
15. Dezember 2018: Von  an Tee Jay Bewertung: +3.00 [3]

Google mal "responsible disclosure"! Es ist schlicht absolut unterirdischer Stil, Sicherheitsprobleme öffentlich zu postenl, ohne dem Verantwortlichen vorher genug Zeit zu geben sie zu bereinigen.

Und das Argument "die Russen/Chinesen/Auserirdischen... finden die doch auch locker" ist in dem zusammenhang ziemlich absurd. Jeder, der auch nur halbwegs Ahnung von Computersicherheit hat, weiss, dass es natürlich keinen Schutz gegen wirklich professionelle Hacker gibt - aber die werden aicher nicht dieses Forum angreifen. Es geht um Gelegenheits-Script-Kiddies. Und die lockt man mit solchen disclusures durchaus an.

15. Dezember 2018: Von Erik N. an Tee Jay Bewertung: +12.00 [12]

Wem es bisher nicht klar war, der weiß es jetzt: Du bist nichts als ein Profilneurotiker !

15. Dezember 2018: Von Tee Jay an 

Was für ein Schwachsinn... und wenn Du mein verlinkes Negativbeispiel sehen würdest ist mir responsible disclosure sehr wohl bekannt.

15. Dezember 2018: Von Wolff E. an Erik N. Bewertung: +1.00 [1]

Erik, du meinst, er ist ein "Möchtegern Groß"? Wenn ja, denken viele vermutlich schon länger... Im Austeilen ist TJ groß und eher nicht dezent. Aber wehe, man hält ihm was vor. Für mich gilt, wer austeilt muss auch einstecken können....

15. Dezember 2018: Von  an Tee Jay Bewertung: +1.00 [1]

und wenn Du mein verlinkes Negativbeispiel sehen würdest ist mir responsible disclosure sehr wohl bekannt.

Ah ja - wenn Du dafür bezahlt wirst, dann hälst Du Dich also an die Regeln - nur unbezahlt posaunst Du Sicherheitsprobleme einfach so raus.

Sorry, aber das ist echt schlechtest denkbarer Style.

15. Dezember 2018: Von Jan Brill an Tee Jay Bewertung: +12.00 [12]

Ach Gottchen, das ist doch noch lange keine Analyse. Das war in 3 Minuten im Vorbeigehen aufgesammelt.

... oje, entsprechend schlecht ist der Beitrag auch. Also erstmal: Ohne GET Methode wird's schwierig für so einen Web-Server in der Praxis - gelle? Ach ja, sehe Sie hatten das in Ihrem Beitrag inzwischen korrigiert ... immerhin ...

Aber:

  • Cookies nicht mit "httponly,secure" geschützt zumindest nicht auf https://office.airworkpress.com/login.php jeder MITM z.B. in einem WLAN kann Sessions übernehmen und ohne Passwort in Euren Mails lesen.

Geht's noch? Könnten Sie bitte aufhören mit Ihrem Halbwissen solche unwahren und höchst schädlichen Behauptungen aufzustellen? Um hinter dem horde php Mails lesen zu können müssten da nämlich auch Mails liegen. Vielleicht sind wir ja auch aus einem bestimmten Grund einfach nur neugierig wer so eine Login-Maske [schauen Sie sich mal die Form-Action an...] alles in die Finger nimmt?

CSP img-src:*

Ja klar oder meinen Sie ich will alle seit 2003 hier fremd-geposteten Bilder aus dem Forum kicken?

Jigsaw 2.2.5 als Backend in einigen Bereichen

So what? Ergibt sich daraus irgend ein bekannter Angriffsvektor der auf der Seite nutzbar wäre? Oder ist das einfach Berater-Gesabbel aus dem Hause jakobssystems.net ?

Referer und ETags

Das dürfen wir schon noch selber entscheiden - oder? Sie brauchen die Seite ja nicht zu nutzen wenn Ihnen diese Policy nicht gefällt.

GeoIP-Filtern [für China, Russland etc.]

Gute Idee! Die Seite wird ja auch kaum von Leuten genutzt die beruflich viel im Ausland unterwegs sind! Von der redaktionellen Arbeit ganz zu schweigen.

Ich bin ja wirklich froh für qualifizierte Hinweise, von mir aus auch öffentlich solange sie keine Exploits erlauben oder Daten enthalten. SMB-Port und Directory Listing im servlet-tree hätten z.B. wirklich nicht sein dürfen und sind gefixed. Danke dafür.

Aber einfach zu behaupten jeder MITM könnte unsere Mails mitlesen nur weil man irgendwo ein horde php ohne secure-cookie prefix gefunden hat ist schon üble Nachrede und zeigt die fachliche Güte der "Findings".

viele Grüße,
Jan Brill

15. Dezember 2018: Von Tee Jay an  Bewertung: -2.00 [2]

Falsch Du liegst schon wieder völlig neben der Sache, es ist ein kostenloser Service.

15. Dezember 2018: Von Willi Fundermann an Achim H. Bewertung: +13.00 [13]

"Auch wenn's ne Kalltüte ist mit maximal Halbwissen zu fliegerischen und IT-Themen, kann er auch mal valide Punkte aufbringen..."

Ich hab von diesem "IT-Zeug" absolut keine Ahnung und kann daher als "DAU"* die Validität dieser Bewertungen auch in keiner Weise beurteilen.

Aber wie schon von anderen ausgeführt: Wenn es nur darum ginge, Jan Brill auf vermutete oder tatsächliche Fehler oder Verbesserungsmöglichkeiten hinzuweisen, wäre es einfach guter Stil, ihm dazu persönlich eine simple E-Mail zu schicken, die Adresse ist ja kein Geheimnis. Das stattdessen hier öffentlich zu posten - egal wer eventuell mitliest - ist für mich schlichte, banale Selbstdarstellung. Genau so gut hätte man auch öffentlich schreiben können: "Du Dummkopf, du hast ja keinerlei Fachkenntnis, ich erklär Dir jetzt mal das Allernötigste! Denn das ist erst mal nur das, was ich in 3 Minuten im Vorbeigehen aufgesammelt habe."

* Dümmster anzunehmender User

15. Dezember 2018: Von Tee Jay an Jan Brill

Um hinter dem horde php Mails lesen zu können müssten da nämlich auch Mails liegen. Vielleicht sind wir ja auch aus einem bestimmten Grund einfach nur neugierig wer so eine Login-Maske [schauen Sie sich mal die Form-Action an...] alles in die Finger nimmt?

Interessant das Horde FORM Tag lädt auf (http:?) sich selbst? Da der Server diverse Mail-Ports offen hat, war das eine naheliegende Deduktion, daß ein instaliertes Horde am gleichen Host zum Lesen von Mails verwendet wird. Wenn es demnach nicht so ist, was hat dann das Horde auf dem Server zu suchen? Und das offensichtlich in einer älteren Version? Angriffsfläche minimieren, weg damit! Und btw. Horde besteht aus einer Vielzahl von Skripten und Funktionen, da ist es unerheblich ob aktiv genutzt oder nicht, irgendein Upload-Tool für eine PHP Reverse Shell ist da schnell gefunden.

Ja klar oder meinen Sie ich will alle seit 2003 hier fremd-geposteten Bilder aus dem Forum kicken?

Die Abwägung ist in der Tat zu treffen. Gefährde ich den unbeteiligten Betrachter, der über Google zufällig auf die Seite kommt mit irgendeinem fremd verlinkten Content, der Malware streut? Die Antwort ist leicht. Sobald das passiert, ist der Betreiber in der Haftung. Nur so zur Info.

Jigsaw 2.2.5 als Backend

Mitnichten Berater-Gesabbel. Ein Webserver aus dem Jahr 2005 ist ein Sicherheitsrisiko, da die ganzen Entwicklungen des vergangenen 13 (!) Jahre nicht enthalten sind. Oder verwendet irgendeiner der hier Anwesenden noch ein Windows XP oder einen IE6? Das Zeug stammt auch aus der Zeit herum.

GeoIP-Filtern [für China, Russland etc.]

Gute Idee! Die Seite wird ja auch kaum von Leuten genutzt die beruflich viel im Ausland unterwegs sind! Von der redaktionellen Arbeit ganz zu schweigen.

Risikoabwägung was normale Besucher/Nutzer der Website betrifft. Das Zugriffslog könnte da auf diese Frage Antwort geben. Was hingegen der redaktionellen Arbeit mit der Seite betrifft, gerade wenn Zugriffe auf die eigene Infrastruktur aus so Ländern wie China, Russland & Co erfolgen, dann sollte das ausschliesslich über ein VPN Tunnel erfolgen. Alles andere ist grob fahrlässig

SMB-Port und Directory Listing im servlet-tree hätten z.B. wirklich nicht sein dürfen und sind gefixed. Danke dafür.

Bitte

Aber einfach zu behaupten jeder MITM könnte unsere Mails mitlesen nur weil man irgendwo ein horde php ohne secure-cookie prefix gefunden hat ist schon üble Nachrede und zeigt die fachliche Güte der "Findings".

Falsch, ich brauche nur mit einem Wifi Pineaple in der Nähe Deines Notebooks zu sein, ein offenes WLAN unter der Dir bekannten MAC/SSID aufzuspannen und schon bucht sich Dein PC automatisch ein ohne daß Du was davon mitbekommst und ich kann nicht nur "mitlesen" sondern ungeschützte Cookies auch zur Sessionübername nutzen. Das ist mitnichten üble Nachrede.

Wie oben geschrieben, martialisch mit Totenkopf-Bildchen herum wedeln ist eine Sache. Die Realität kann mitunter anders aussehen.

15. Dezember 2018: Von Achim H. an Jan Brill

Ich habe noch ein Problem auf aktuellem Chrome. Beim Absenden eines Posts verstößt der anschließende Redirect wohl gegen CSP und wird geblockt. Die Seite bleibt auf dem Post-Editor stehen. Das Posting ist jedoch vorhanden.

MessageEdit.class?showNew&parent=2018,12,15,12,0110688:1 Refused to send form data to 'https://www.pilotundflugzeug.de/' because it violates the following Content Security Policy directive: "form-action 'self'".

Ist da evtl. noch ein hartkodiertes "http" statt "https"? In der Fehlermeldung darüber steht übrigens "http", es scheint für die Anzeige im Forum automatisch in https geändert zu werden.

15. Dezember 2018: Von Willi Fundermann an Jan Brill

Ich kann den Ärger sehr gut nachvollziehen. Allein, ich befürchte, der Versuch einer sachlichen Auseinandersetzung führt in diesem Fall ins Leere.

15. Dezember 2018: Von Jan Brill an Tee Jay Bewertung: +6.00 [6]

TeeJay,

Sie versuchen mit möglichst viel IT-Sprech hier die Mitleser zu beeindrucken die nicht nachvollziehen können wie haltlos Ihre Argumente sind. Die ITler wissen das ja eh. Deshalb nochmal auf Deutsch für zwei Aspekte aus unserer Diskussion:

1) Sie behaupten jeder Man in the Middle (MTIM, Mithörer im Netzwerk) könnte unsere Mails lesen, weil die Eingagstür (Horde login.php) einen kriminellen Angriff nicht komplett verhindert. Was ich Ihnen geschrieben habe ist: In dem Haus in das diese Eingangstür führt gibt es keine Mails. Nur jemanden, der sehr interessiert ist wer durch diese nicht komplett verschlossene Tür hindurchkommt. Ist das echt so schwer zu begreifen?

Oder nochmal im IT-Sprech: "Horde ain't doing no webmail dude!"


2) Sie vergleichen die Auswahl eines Betriebssstems mit der Auswahl eines sehr eingeschränkt genutzten Werkzeugs (hier http-Bilbiothek) und leiten aus a) die Kriterien für b) ab. Den von mir geforderten Beleg eines Anfriffsvektors dadurch bleiben Sie schuldig und flüchten sich in Allgemeinplätze. Dass ich ein Betriebssystem anders auswähle als ein sehr gezielt genutztes Einzelwerkzeug dürfte auch IT-Laien einleuchtend sein. Wenn Sie Ihre Kunden mit der gleichen differenzierten Betrachtungsweise beraten bin ich froh da nicht dazuzugehören.

viele Grüße
Jan Brill

15. Dezember 2018: Von  an Tee Jay Bewertung: +13.00 [13]

... auch in diesem Fall gelingt die Umkehrkurve nicht.

15. Dezember 2018: Von Tee Jay an Jan Brill

zu

1) Nocheinmal, bitte genau lesen! Auch Wenn Horde nicht zum Mail-Lesen genutzt wird, dann runter mt dem Zeugs! Denn auch bei Nicht-Benutzung ist diese lose Skriptsammlung geeignet, den Server zu kompromitieren sobald ich da eine Möglichkeit habe, eine Reverse Shell hochzuladen. Eine PHP-Zeile reicht aus. Und da es sich dem ersten Anschein nach auch um eine ältere Version handelt, ist da die Wahrscheinlichkeit eher hoch.

2) Okay dann wähle ich anstelle eines Betriebssstems ein etwas mehr vergleichbares Werkzeug: den IIS6. Und für die Java Software mag es nur eine eingebundene Bilbiothek sein. In Wirklichkeit ist das ein vollständiger Webserver, der seit 13 Jahren nicht mehr gepflegt und weiterentwickelt wurde.

Was Du als Betreiber mit den Findings macht, Deine Sache, ich bin nur der Messenger nicht die Message. Deine übrigen Ausfälle ignoriere ich da mal.

Hier ein schönes Video als weiterführende Information...

https://media.ccc.de/v/2018-139-die-fabelhafte-welt-der-information-security

15. Dezember 2018: Von Willi Fundermann an Tee Jay
Beitrag vom Autor gelöscht

85 Beiträge Seite 1 von 4

 1 2 3 4 
 

Home
Impressum
© 2004-2024 Airwork Press GmbH. Alle Rechte vorbehalten. Vervielfältigung nur mit Genehmigung der Airwork Press GmbH. Die Nutzung des Pilot und Flugzeug Internet-Forums unterliegt den allgemeinen Nutzungsbedingungen (hier). Es gelten unsere Datenschutzerklärung unsere Allgemeinen Geschäftsbedingungen (hier). Kartendaten: © OpenStreetMap-Mitwirkende, SRTM | Kartendarstellung: © OpenTopoMap (CC-BY-SA) Hub Version 14.22.03
Zur mobilen Ansicht wechseln
Seitenanfang