Servus. Da bin ich nochmal.

Diesmal suche ich jemanden der bekannte Lücken im IE auf die HP schreiben kann. Einiges habe ich selber, doch es ist noch nicht so wie ich es will.

Hintergrund: Ich will auf meiner HP die Lücken als Demo haben.

Wer Interesse/Skill hat bitte melden.
aegir@hushmail.com

ganz sicher wird dir das jemand programmieren ;-)

herzklopfen

Wie kommen Leute auf solche Ideen?? Ausserdem ist auch die Anstiftung zum Computerbetrug/Einbruch strafbar!

Ab so ca. 9 Millionen können wir darüber reden, dann überleg ich mir
ob ich die Gefängnissstrafe in erwägung ziehe...

Mal ganz ehrlich:
Sau dumme Idee.

...und wenn wir hier schon mal beim thema sind:
wer "hackt" mit mir die hausbank von bill gates?
aber ernst - ich habe von sowas wie der "demo-site" im internet, die lücken aufdeckt schon mal gehört. z.b. hat chip.de mal auf der startseite demonstriert wie leicht es für sie war den verzeichnisbaum zu ermitteln. dieser wurde einem dann auf der startseite vorgeführt. das fand ich damals recht eindrucksvoll - ist aber schon eine gaaaaaanze weile her --- "früher, als ich noch ein richtiger mann war...". :)
gruß,
*Caesar*

Warum sollte es verboten sein, eine Demonstration auf seine Webseite zu stellen?

http://www.heise.de/security/dienste/browsercheck/

Gruß z3r0x

es geht nicht um das verbotene der Demonstration es geht darum, was jemand wie er damit
machen kann.
Mittäterschaft reicht auch schon...

Hmm...hatte seine Anfrage eigentlich eher so verstanden, dass er Demos im aehnlichen Stil wie heise.de (zu Selbsttestzwecken o.ae.) auf seiner Seite anbieten wollte...

Ausserdem sind diese Luecken doch absolut kein Geheimnis- und der Code jederzeit einseh-, bzw. veraenderbar.

Strafbar wuerde er sich afaik nur machen, wenn diese Exploits fuer kriminelle Aktionen genutzt werden und $visitor davon nicht in Kenntnis gesetzt wird.

genau. Und in dem Moment in dem du den Code dafür lieferst, egal ob du weißt was er
vorhat oder nicht, bist du mitverantworltich.
Ich bezweifle, dass man kontrollieren kann, was mit dem Code geschiet, aber ich behaupte,
dass man durch striktes ignorieren solcher Anfragen locker 10-15% aller Luser davon
abhalten kann massiv ...... im Internet zu treiben.

Dann waere Bugtraq (Securityfocus bzw. diverse Securityseiten) und in diesem Fall heise.de ja der Hauptuebeltaeter. :)

Ferft tie Purschen tzu Poden!

Dort werden ja nun wirklich Tonnenweise proof of concepts zur Schau gestellt und verklagt wurde noch keiner.

Ausserdem haben solche Seiten auch einen grossen Vorteil.
Naemlich den, dass $user durch lesen von Securitynews in der Lage ist evtl. Sicherheitsluecken vorruebergehend zu ueberbruecken/beseitigen - sofern noch kein Patch zur Verfuegung steht -
...oder aber halt, dass Mitleser evtl. weitere Sicherheitsluecken bezueglich dieser Informationen aufdecken kann.

Dies koennte $user aber nicht, wenn es keine Info's dazu geben wuerde.
Und mit Info's meine ich auch die sogenannten Exploits an sich.
Denn, wuerdest du einer Seite glauben die nur von einer Sicherheitsluecke berichtet, aber nicht beweisen kann/darf, dass sie evtl. auch auf deinem System funktioniert?

Ich auch nicht. :p

Vielleicht bist du ja auch betroffen und kannst sogar noch wertvolle Info's zur Fehlerbehebung geben?
Um so etwas analysieren zu koennen, ist es halt sinnvoll zu wissen, was waehrend des exploitens vor sich geht.


Und das solche Seiten auch eine Schatteneite haben, ist mir bewusst.
Dadurch sind Scriptkiddys leider all zu oft in der Lage ihr unwesen zu treiben.

Aber was waere dir lieber:

- Es gibt zig Luecken von denen keiner weiß, sie aber von allen Insidern maßlos ausgenutzt werden ohne das $user etwas davon mitbekommt?

...oder aber...

- Es existieren zig Luecken von denen zig Leute wissen, dagegen aber schnell etwas unternommen werden kann?


Gruß z3r0x

Ich lese die Seite ja auch, aber das Problem ist, dass für den IE so wenig möglich verfügbar sein sollte.

Gerade da können "dumme Kinder" viel zu viel Müll mit anstellen.

Wären die IENutzer wenigsten in den Ansätzen so intelligent und würden wissen auf was sie sich einlassen wenn sie mit dem IE surfen wäre das IMHO ein kleineres Problem ein Exploit dafür weiterzugeben.

Naja, es wird ja bereits selbst in den Medien schon geraten auf Firefox oder Alternative umzusteigen.
Mehr kann man ja nun wirklich nicht machen. :)

Gruß z3r0x

Es war schon nach dem Prinzip von heise.de gemeint.

Ich kann auch die Angst vieler Leute hier verstehen, aber das Verhalten einiger ist schon komisch.

Ích denke auch, das die meisten Codes bereits öffentlich einsehbar sind, leider kann ich sie nicht so wie ich es will in meine HP einbauen.

Darum ging es mir nur. Ich wollke keine *neuen*unbekannten Lücken haben.

Wenn es unbekannte sind, um so besser... dann aber gleich noch ein CC an bugtraq@securityfocus.com. :)

...und wenn wir hier schon mal beim thema sind:
wer "hackt" mit mir die hausbank von bill gates?
aber ernst - ich habe von sowas wie der "demo-site" im internet, die lücken aufdeckt schon mal gehört. z.b. hat chip.de mal auf der startseite demonstriert wie leicht es für sie war den verzeichnisbaum zu ermitteln. dieser wurde einem dann auf der startseite vorgeführt. das fand ich damals recht eindrucksvoll - ist aber schon eine gaaaaaanze weile her --- "früher, als ich noch ein richtiger mann war...". :)
gruß,
*Caesar*


Hallo,

meines Wissens nach war dieses *nur* für dich sichtbar, und nciht für den betreiber der Webseite ;-)

Gruß Herzklopfen

Zitat von herzklopfen
meines Wissens nach war dieses *nur* für dich sichtbar, und nciht für den betreiber der Webseite ;-)
da hast du zweifellos recht. ich habe mir damals davon inspiriert mal so gedacht, daß die das mit der system()-anweisung von php gemacht haben, denn diese gestattet es simple "dos-befehle" zu benutzen, wenn ich mich recht erinnere. auf jeden fall könnte man damit gesammelte daten auch archivieren als böser website-halter mit gemeinem php-skript-mit-system()-anweisung. ;) wir brauchen dies an dieser stelle nicht weiter zu vertiefen - das ist einfach schon zu lange her und mich interessieren sicherheitslücken bedingt - halt nur insofern, als daß ich sie nicht aufspüren oder ausnutzen will, sondern nur stopfen. :)
gruß,
*Caesar*

Ich wollte nochmal das Thema aufgreifen.

Ich habe einen Quell-Text von heise.de , der für alle öffentlich ist und würde den gerne mit einer oder zwei Zeilen Code bearbeitet haben weil ich kein JavaScript kann.
Der Quell-Text öffnet die Such-Leite im IE (Strg+E) und die will ich nur geschlossen haben.
Es ist also nicht verbotenes oder was hier noch alles diskutiert wurde.

Wenn jemand interesse hat sich schnell ein paar Euro zu verdienen dann bitte melden.

Thx