1. Dashboard
  2. Artikel
  3. Mitglieder
    1. Letzte Aktivitäten
    2. Benutzer online
    3. Team
    4. Mitgliedersuche
  4. Forum
    1. Unerledigte Themen
  • Anmelden
  • Registrieren
  • Suche
Dieses Thema
  1. HTML - Webmaster Forum
  2. Talk Talk
  3. Off Topic und Quasselbox

Anti-XSS

  • Dodo
  • 9. April 2010 um 01:53
  • 1
  • 2
  • 3
  • 4
  • Afrael
    Meister(in)
    Reaktionen
    1
    Beiträge
    313
    • 12. April 2010 um 00:12
    • #41
    Zitat von Dodo

    Hacken ist ohne Erlaubnis eine Straftat ;)

    Öh... definiere Hacken. Wenn ich Daten aus der Datenbank klaue, ist es eine Straftat. Wenn ich Identitätsklau betreibe, ist es eine Straftat. Nur nach Vulnerabilities zu gucken ist in den meisten Fällen höchstens ein Verstoß gegen die Nutzungsbedingungen der Seite.

    Information will frei verfügbar sein.

    Don't eat unpeeled hedgehogs.

  • The User
    Forum Guru
    Beiträge
    4.044
    • 12. April 2010 um 00:38
    • #42

    Dann bist du ein Gray-Hat, aber ist ja nicht schlimm. ;)

    Freiheit bedeutet mehr.

    "Mir ist die gefährliche Freiheit lieber als eine ruhige Knechtschaft."
    (Jean Jacques Rousseau)
    Mein Blog zum Programmieren, GNU/Linux etc.
    Free Chelsea Manning!
    Stolzer Nutzer von KDE, openSUSE und Qt.

  • Dodo
    Jedi Ritter
    Reaktionen
    1
    Beiträge
    3.774
    • 12. April 2010 um 00:50
    • #43

    Okay Afrael, deine Ziele mögen noch so tugendhaft sein... Jetzt kennst die Ansichten der anderen Seite. Der Seite, die du hackst. Nimm dir bitte unsere Kommentare zu Herzen. Nicht jeder denkt, wie du. Ich wurde einmal von jemandem mit meinem Datenbank-Passwort angeschrieben. Er hat es mir erzählt und hat mir erklärt, wie er dahin kam.
    Das mag noch so toll sein. Weniger toll war, dass er mein Passwort kannte. Das Passwort, das ich bei jedem zweiten Login verwendete. Hätte er das angekündigt, hätte ich das vorher noch ndern können. Er hat mir mehr Arbeit gemacht, als er mir geholfen hat...

    Something big is coming. And there will be pirates and ninjas and unicorns...

  • Afrael
    Meister(in)
    Reaktionen
    1
    Beiträge
    313
    • 12. April 2010 um 01:11
    • #44
    Zitat von Dodo

    Jetzt kennst die Ansichten der anderen Seite. Der Seite, die du hackst.


    Eigentlich nicht, nein. Ich lese hier nur synaptics Meinung von "eine Frage der Ehre" und deine (nicht weiter begründete) Meinung, dass Hacker (wenn nicht ausdrücklich Whitehat) bestraft gehören, unabhängig von Motiven. Ich sehe hier nicht wirklich eine begründete Ansicht.

    Zitat

    Ich wurde einmal von jemandem mit meinem Datenbank-Passwort angeschrieben. Er hat es mir erzählt und hat mir erklärt, wie er dahin kam.
    Das mag noch so toll sein. Weniger toll war, dass er mein Passwort kannte. Das Passwort, das ich bei jedem zweiten Login verwendete. Hätte er das angekündigt, hätte ich das vorher noch ndern können. Er hat mir mehr Arbeit gemacht, als er mir geholfen hat...


    Ja. Und wenn er kein White/Greyhat gewesen wäre, hätte er vermutlich jetzt die Kontrolle über die Hälfte deiner Accounts. Blackhats tun dir nicht den Gefallen, sich anzukündigen. Wenn er ein Blackhat gewesen wäre, hätte er dir "viel mehr Arbeit gemacht" als dieser eine White/Grey. Insofern hat die derjenige schon geholfen.

    Information will frei verfügbar sein.

    Don't eat unpeeled hedgehogs.

  • The User
    Forum Guru
    Beiträge
    4.044
    • 12. April 2010 um 01:15
    • #45

    Grayhats haben dafür den Vorteil produktiver zu sein, was spontane Hilfe angeht. Whitehat mit vorheriger Nachfrage gibt es wohl eher selten, da doch eher beauftragte (und bezahlte) Whitehats.

    Freiheit bedeutet mehr.

    "Mir ist die gefährliche Freiheit lieber als eine ruhige Knechtschaft."
    (Jean Jacques Rousseau)
    Mein Blog zum Programmieren, GNU/Linux etc.
    Free Chelsea Manning!
    Stolzer Nutzer von KDE, openSUSE und Qt.

  • Tobse
    Kaiser(in)
    Reaktionen
    4
    Beiträge
    2.439
    • 12. April 2010 um 21:06
    • #46

    Und das arme Greyhat Webmaster Opfer wird spontan zum Redhead xD.
    Wir schweifen glaub n bissl vom thema ab.

    Der, der weiß dass er nichts weiß, weiß mehr als der, der nicht weiß, dass er nichts weiß.

    Wer nach etwas fragt, geht grundsätzlich das Risiko ein, es auch zu bekommen!

  • Grevas
    König(in)
    Reaktionen
    3
    Beiträge
    1.043
    • 12. April 2010 um 22:20
    • #47

    Ich seh das wie Afrael, erst recht wenn dir die Person
    dann auch noch erklärt wie das ganze klappen konnte!
    Ist mir aufjedenfall lieber, als wenn irgendjemand mein
    PW weiß und damit unfug macht. Vorallem kann man
    danach, so eine Lücke vermeiden.

  • Dodo
    Jedi Ritter
    Reaktionen
    1
    Beiträge
    3.774
    • 12. April 2010 um 22:27
    • #48
    Zitat von Grevas

    Ich seh das wie Afrael, erst recht wenn dir die Person
    dann auch noch erklärt wie das ganze klappen konnte!
    Ist mir aufjedenfall lieber, als wenn irgendjemand mein
    PW weiß und damit unfug macht. Vorallem kann man
    danach, so eine Lücke vermeiden.

    Also mir ist es lieber, wenn mir jemand normal ins gästebuch eintragt und fragt, ob ich das überhaupt überprüft haben will!

    Something big is coming. And there will be pirates and ninjas and unicorns...

  • The User
    Forum Guru
    Beiträge
    4.044
    • 12. April 2010 um 22:44
    • #49

    Dodo
    Das macht man doch aus einer Laune heraus, man stöbert ein wenig und freut sich, wenn man etwas findet. Als ob sich ein Cracker eine Warteliste für Internetseiten anlegt, die er dann nach dem Okay wieder besucht. Wer macht das denn? Da ist es doch besser, wenn überhaupt Sachen aufgedeckt werden.

    Freiheit bedeutet mehr.

    "Mir ist die gefährliche Freiheit lieber als eine ruhige Knechtschaft."
    (Jean Jacques Rousseau)
    Mein Blog zum Programmieren, GNU/Linux etc.
    Free Chelsea Manning!
    Stolzer Nutzer von KDE, openSUSE und Qt.

  • Afrael
    Meister(in)
    Reaktionen
    1
    Beiträge
    313
    • 12. April 2010 um 23:05
    • #50

    The User, ich hab das eigentlich so gelernt, dass Cracker die bösen (=Blackhats) sind und Hacker alle anderen.

    Zitat

    Wir schweifen glaub n bissl vom thema ab.


    Whoops, sorry. Aber ich dachte, das hier wäre das Laberforum? Wir können das ganze auch gerne abgesplittet tun, wenn man Wert darauf legt.

    Information will frei verfügbar sein.

    Don't eat unpeeled hedgehogs.

  • Pion
    Gast
    • 12. April 2010 um 23:59
    • #51
    Zitat von Afrael

    Nur nach Vulnerabilities zu gucken ist in den meisten Fällen höchstens ein Verstoß gegen die Nutzungsbedingungen der Seite.


    Was heist den höchstens, wenn du die Nutzungsbedingungen nicht beachtest und dadurch auch noch schaden der Seite zufügst ist das genau so strafbar....

    Grevas gut zu wissen das es dir lieber ist das ich in dein Auto einbreche und so schmerzhaft den Fehler finde als wenn ich dir vorher den Tipp gebe das bei dem Modell der und der Fehler auftreten könnte und man ihn so und so beheben könnte


    Der Tread ist mir noch nie aufgefallen ^^

  • Dodo
    Jedi Ritter
    Reaktionen
    1
    Beiträge
    3.774
    • 13. April 2010 um 00:14
    • #52

    Beispiel: Einbrecher kommt, knackt meine Tür, durchstöbert die Schubladen, klaut den Schlüssel, weckt mich und sagt, dass ich eine Sicherheitstür benötige. Dann geht er wieder.
    Beispiel: Hacker kommt, knack den Admin-Login, durchstöbert die Datenbanken, hat damit das Passwort, schreibt mir eine E-Mail, dass ich anfällig auf SQL-Injections bin. Dann lässt er mich wieder in Ruhe.

    WO IST DER UNTERSCHIED? Das eine ist echtes Leben, das andere Computer, oder wie? Jeder Hacker, der versucht UNBEFUGT in mein Admin-Panel zu kommen, hat in meinen Augen keine Gnade verdient. "Gelegenheit macht Diebe!"
    Auch wenn sich jemand als Whitehead oder Grayhead bezeichnet. Es ist nur ein Name. ICh denke nicht, dass sich nur ein Web-Entwickler wohl fühlt, wenn es jemand wagt, in sein "heiliges Reich" einzubrechen.

    Something big is coming. And there will be pirates and ninjas and unicorns...

  • Tobse
    Kaiser(in)
    Reaktionen
    4
    Beiträge
    2.439
    • 13. April 2010 um 15:34
    • #53

    Der könnte ja nach MySQL Injections suchen, wenn er was gefunden hat ne benachrichtigung schicken und dann bei nem okey weitergehen.

    Der, der weiß dass er nichts weiß, weiß mehr als der, der nicht weiß, dass er nichts weiß.

    Wer nach etwas fragt, geht grundsätzlich das Risiko ein, es auch zu bekommen!

  • Dodo
    Jedi Ritter
    Reaktionen
    1
    Beiträge
    3.774
    • 13. April 2010 um 18:28
    • #54

    ja und dann ist die frage, ob er nicht noch was anderes getan hat...

    Something big is coming. And there will be pirates and ninjas and unicorns...

  • The User
    Forum Guru
    Beiträge
    4.044
    • 13. April 2010 um 18:40
    • #55

    Dodo
    Der entscheidende Unterschied ist der, dass das Auto nachher kaputt ist. Der Web-Master fühlt sich höchstens ein bisschen doof und ist ein paar Minuten mit PW austauschen beschäftigt.

    Freiheit bedeutet mehr.

    "Mir ist die gefährliche Freiheit lieber als eine ruhige Knechtschaft."
    (Jean Jacques Rousseau)
    Mein Blog zum Programmieren, GNU/Linux etc.
    Free Chelsea Manning!
    Stolzer Nutzer von KDE, openSUSE und Qt.

  • Dodo
    Jedi Ritter
    Reaktionen
    1
    Beiträge
    3.774
    • 13. April 2010 um 18:43
    • #56

    @The-User: Hast du mein Beispiel gelesen? Da steht nirgendwo das Wort Auto.
    Schubladen deuten auf Haus hin. Und wenn er mein Schlüsselloch geknackt hat, bin ich auch nur kurz beschäftigt, das Schlüsselloch auszutauschen.

    Und wenn das ganze eine Online-Plattform ist, dann muss ich jeden Benutzer benachrichtigen. Jeder soll seine Passwörter ändern, etc.

    Something big is coming. And there will be pirates and ninjas and unicorns...

  • The User
    Forum Guru
    Beiträge
    4.044
    • 13. April 2010 um 20:05
    • #57

    Stimmt, da hatte ich was falsch in Erinnerung.
    Warum soll jeder seine Passwörter ändern?

    Freiheit bedeutet mehr.

    "Mir ist die gefährliche Freiheit lieber als eine ruhige Knechtschaft."
    (Jean Jacques Rousseau)
    Mein Blog zum Programmieren, GNU/Linux etc.
    Free Chelsea Manning!
    Stolzer Nutzer von KDE, openSUSE und Qt.

  • Dodo
    Jedi Ritter
    Reaktionen
    1
    Beiträge
    3.774
    • 13. April 2010 um 20:07
    • #58

    ganz einfach: wer weiß, was der hacker alles hat? vll hat er sie gecrackt ;)

    Something big is coming. And there will be pirates and ninjas and unicorns...

  • synaptic
    Forum Guru
    Reaktionen
    11
    Beiträge
    10.917
    • 14. April 2010 um 00:30
    • #59

    the user... du hast so viel in der birne, wieso strengst du sie nichma n bissi an, um dich ma in ne entsprechende lage zu versetzen??

    gehen wir mal auf die intersoziale schiene...
    mal angenommen du hast ne freundin, ich komm vorbei, schnapp se mir, benutze sie und sag dir nachher: hey deine alte war scheisse und sie geht fremd, du solltest dir ne neue suchen...

    ich glaub bei dir is jedes beispiel fehl am platz, weil du einfach noch keinen schaden durch solche aktionen genommen hast und dich wegen offensichtlich fehlender sozialer kompetenzen auch nicht in eine solche person hineinversetzen kannst. du willst gar nicht das schlechte in einem solchen handeln erkennen, weil du dann wohl zugeben würdest, dass dein spass bei dem ja nichts passiert doch am ende nur unrecht gegenüber unbeteiligten ist.

    jeder der hacked ohne vorher zu sagen was los is hat einfach keine eier, nur etwas skill, was sich jeder hohlkopf aneignen kann...

  • Thonixx
    Gast
    • 14. April 2010 um 12:11
    • #60

    Ich bin auch der Meinung, man sollte sich zuerst melden, wenn man etwas macht.
    Dann ist man ein guter Hacker, aber, wie synaptic meint, ist man sonst ein Hacker ohne viel in der Birne.

    Dieser Thread ist mir übrigens auch noch nicht aufgefallen.

    Ich habe mir die Diskussion mal durchgelesen und finde es sehr interessant.
    Zum ersten Mal höre ich die Begriffe White/Grey/Black-Hats, aber gut zu wissen.

    Wie würdet ihr euch denn aber vorstellen, ein solches Script, wie am Anfang erwähnt, zu verbreiten und überhaupt zu entwickeln?
    Ich finde die Massnahmen mit mehreren Überprüfungen sinnvoll, die auch serverbasiert wären.

    Die Beispiele mit der Wohnung finde ich zwar okay, aber ein bisschen unpassend.
    Bei einem Schlüssel hast du ihn, aber wenn man ihn zurückgibt, dann hat man keinen mehr (vorausgsetzt der Einbrecher hat ihn nicht nachmachen lassen).
    Bei Passwörtern sollte man sowieso darauf achten, keins zu verwenden, welches man bei jedem zweiten Account hat.

    • 1
    • 2
    • 3
    • 4

Tags

  • browser
  • button
  • links
  • web
  • funktion
  • fenster
  • frames
  • input
  • biete
  • php
  • gästebuch
  • meldung
  • javascript
  • nachricht
  • erkennen
  • sucht
  • ebuch
  • script
  • header
  • angriffe
  • submit
  • js
  1. Datenschutzerklärung
  2. Impressum
Community-Software: WoltLab Suite™
  • Alles
  • Dieses Thema
  • Dieses Forum
  • Artikel
  • Seiten
  • Forum
  • Erweiterte Suche
Zitat speichern