Month of Mydealz Bugs - Tag 3

Zwar wurden die Bugs der letzten Tage löblich schnell behoben, allerdings störe ich mich doch etwas daran, dass die zugehörigen Threads entfernt wurden.
Tag 1: Persistent Cross-Site Scripting and Execution of Commands in User's/Admin's Context
Tag 2: Persistent Cross-Site Scripting and Execution of Commands in User's/Admin's Context (Social Engeneering needed)

Heute etwas eher Langweiliges:
Tag 3: Persistent Cross-Site Scripting and Execution of Commands in User's/Admin's Context (funktioniert nicht in allen bzw. teils nur in älteren Browsern)

Morgen wird's dann mit dem Thema Information Disclosure spannender (wobei auch das in Zeiten von Facebook fraglich ist).

Ich bleibe jedenfalls meiner Einstellung zum Public Disclosure treu und so gibt es auch die heutige Demonstration des Bugs in den Kommentaren - sofern dieser Thread freigeschaltet wird/nicht in der Moderation versinkt.

Und bevor sich wieder jemand beschwert, es würde hier nicht hinpassen: Unter Diverses wurden schon immer Probleme mit der Plattform diskutiert. Und Lücken, die die Sicherheit der Nutzer/Plattform direkt gefährden, werden eh nicht mit Exploit von mir veröffentlicht...

7 Kommentare

Verfasser

Für den Bug war eigentlich kein eigener Tag vorgesehen, aber da hat der Programmierer gestern wohl Copy&Paste vergessen:
[img]javascript:alert(document.location.href)[/img]

Admin

Danke.
Mat macht sich an die Arbeit

Die Threads werden gespammt, sobald der Bug gefixt ist.


zum Glück hat der August nur noch 20 Tage... da ist eine Ende der Bugs ja absehbar

Verfasser

Falls es jemanden interessiert, warum ich für Public Disclosure plädiere (kann ja nicht schaden, es mal öffentlich zu sagen): Die Vergangenheit hat gezeigt, dass ein Ausblenden der evtl. vorhanden gewesenen Bedrohungen gegenüber dem User nur dazu führt, dass der sich in falscher Sicherheit wiegt. Ich erinnere mich da an die Anfänge von StudiVZ, wo Bilder als privat online gestellt wurden, dann über einen Trick aber für jeden einsehbar waren. Wären die Nutzer sich der Gefahren bewusst gewesen, wären sie vorsichtiger mit ihren Daten umgegangen. Oder ein abstrakteres Beispiel: Gestern gab es ein Update für den Flash-Player. Adobe spricht von um die 10 geschlossen Lücken. Das sind aber nur die von fremden Sicherheitsforschern entdeckten. Tatsächlich wurden mehrere Hundert Sicherheitslücken geschlossen. Wüssten die Nutzer das, würden sie wahrscheinlich nachdenklicher und könnten Konsequenzen ziehen (z. B. Virenscanner installieren - und ja, es gibt wohl noch Leute, die keinen haben ).

Admin

Ich kann Dir zwar versichern, dass wir die Bugs auch beheben würden, wenn Du sie mir einfach zuschicken würdest. Aber im Prinzip hast Du natürlich Recht, dass eine Veröffentlichung zum schnelleren Handeln zwingt. Und solange eben keine für User sicherheitsrelevanten Bugs im Forum veröffentlicht werden oder Anleitungen an die Hand gegeben werden, sehe ich das sogar ähnlich wie Du. Beim Thema "Information Disclosure" sollte man aber auf jeden Fall vorsichtig sein, je nachdem was Du damit genau meinst.

Der IE 5/6 Bug sollte hoffentlich jetzt auch bald behoben sein.

Admin

Bux Fixed.

Thx again.

Verfasser

admin

Beim Thema "Information Disclosure" sollte man aber auf jeden Fall vorsichtig sein, je nachdem was Du damit genau meinst.


Kannst mir schon vetrauen, dass ich da profesionell arbeite und nicht veröffentlichen würde, wie man z. B. fremde PNs lesen kann (wie letztens auf einer anderen Seite gesehen)...

admin

Der IE 5/6 Bug sollte hoffentlich jetzt auch bald behoben sein.


Opera hat es auch lange Zeit unterstützt. Das war durchaus eine (wenn auch wenig sinnvolle) Funktion. Ist generell auch kein Problem, solange alle Eingaben serverseitig richtig gefiltert werden, was natürlich nicht immer ganz einfach ist...
Dein Kommentar
Avatar
@
    Text
    Top Diskussionen
    1. Kaufberatung 14" Notebook für Uni...33
    2. iPhone 7 vs Samsung Galaxy S8-eure Meinung1015
    3. 2 Playstation 4 Pro zum Preis von einer bei Media Markt96248
    4. Fahrrad Beratung: Trekkingrad bis 1000€ --- VSF / Raleigh / Cube / Pegasus11

    Weitere Diskussionen