heise meldet: heise online - Daten von eBay-Mitgliedern veröffentllicht.
Ob das nun eine Sicherheitslücke von eBay ist oder ein Phishing-Angriff (hat man solche Leute je gekriegt? interssiert das eBay überhaupt?), egal.
Bei Adobe hingegen kann man natürlich Dateien runterladen... die, die dafür vorgesehen sind, aber auch andere. Ein Kommentator im Heise Forum weist auf URLs hin, unter denen sensitive Daten liegen.
Über die URLs kommt man unter Ausnutzung des regulären Download-Tools von Adobe selbst, das keine entsprechende Sperre enthält, einmal zur httpd.conf des Webserverprozesses des Abdobe-Sites.
In der httpd.conf sind die Konfigurationsanweisungen für den Webserver zu finden und neben Benutzernamen und Passwörtern für geschützte Verzeichnisse auch die Angabe wo der SSL-Key zu finden ist, der zur Verschlüsselung von 'sicheren' SSL-Transfers, wie sie z.B. für Kreditkarten-Daten-Transfers benutzt wird.
Im Gegensatz zum Public-Key sollte man bei Verschlüsselungen den Privat-Key nie rumtratschen.
Knapp könnte man sagen, dass sich Adobe seinen eigenen Trojaner auf den Server gebastelt hat.
Schön zu sehen, dass die Leute verantwortungsvoll mit unseren Kreditkartendaten umgehen...
Ob das nun eine Sicherheitslücke von eBay ist oder ein Phishing-Angriff (hat man solche Leute je gekriegt? interssiert das eBay überhaupt?), egal.
Bei Adobe hingegen kann man natürlich Dateien runterladen... die, die dafür vorgesehen sind, aber auch andere. Ein Kommentator im Heise Forum weist auf URLs hin, unter denen sensitive Daten liegen.
Über die URLs kommt man unter Ausnutzung des regulären Download-Tools von Adobe selbst, das keine entsprechende Sperre enthält, einmal zur httpd.conf des Webserverprozesses des Abdobe-Sites.
In der httpd.conf sind die Konfigurationsanweisungen für den Webserver zu finden und neben Benutzernamen und Passwörtern für geschützte Verzeichnisse auch die Angabe wo der SSL-Key zu finden ist, der zur Verschlüsselung von 'sicheren' SSL-Transfers, wie sie z.B. für Kreditkarten-Daten-Transfers benutzt wird.
Im Gegensatz zum Public-Key sollte man bei Verschlüsselungen den Privat-Key nie rumtratschen.
Knapp könnte man sagen, dass sich Adobe seinen eigenen Trojaner auf den Server gebastelt hat.
Schön zu sehen, dass die Leute verantwortungsvoll mit unseren Kreditkartendaten umgehen...
Kommentare
Und der Mensch, der dieses Blog bzw dessen Server und Updates administriert entwickelt (soweit ich weiß) bei s9y mit und war früher "security @ web.de".
Ich rate, dass er weiß, was er tut ;)
(z.B. weil diese Alpha ggf. irgend nen Securitypatch hat ;) )
Deine Argumentation scheint mir minimal sprunghaft ;)
- da kaufen ja eh nur doofe (ehm?)
- mach es erst mal besser als Adobe (hä?)
Ich mag diese inzwischen gut vorhersehbare Antwort der Blogosphäre auf solche Vorfälle nicht. Genügend selbsternannte Security-Spezialisten, Mega-Administratoren, inkompetente Heise-Redakteure und sonstige Wegelagerer greifen zu den Steinen und machen einen auf "Pööööse, pöööse!" Als ob Adobe es nicht selbst schnallen würde, dass so ein Vorfall nicht an der Tagesordnung stehen darf.
Ich habe absolut nichts dagegen, wenn jemand warme Luft erzeugt, um sein Blog zu füllen. Kann Spass machen, mache ich auf anderer Ebene sicherlich auch gern mal. Nur wenn jemand anderen Leuten ihre Security kommentieren will, sollte er evt. die Hintergründe dazu kennen. Sieht einfach besser aus. ;-)
Da ich mal für ihn gearbeitet habe,kenne ich es bei Securityfragen so, dass man überlegt
- Was ham wir auf dem Server?
- Ist das ne Sicherheitslücke?
- Wie stellen wir das ab?
Natürlich kann man auch nachher mal was entdecken, aber obige Lücke scein t mir so wild, dass...
Zudem ging es mir darum, jenseits des Einzeilers bei heise zu erklären, was da passiert.
Interessiert aber wohl eh keien Sau, wenn Adobe sich offenbar nicht präventiv um seinen IT-Sec kümmert.
Meine Quellen sagen da eher, dass große Firmen von IT-Sec-Leuten nur hören wollen, dass alles OK ist und nicht, dass man noch was tun muss.
Zudem habe ich wohl immer noch nicht verstanden, was du mit 'Hintergründen' meinst: Dass es nen guten Grund gibt den private SSL-Key zu publizieren oder dass sich ein ITSec-Ler bei Adobe grad scheiden lässt und sich um sowas nicht kümmern kann?
Machste mir mal n Beispiel für mögliche 'Hintergründe'?