lupo-52  - 73
Fortgeschrittener
(offline)
Dabei seit 05.2010
44
Beiträge
|
|
Geschrieben am: 04.06.2010 um 17:39 Uhr
|
|
Sicherheitsloch auf TU-Webseite.
Mir ist heute beim Aufruf der TU-Webseite aufgefallen, dass in der Webseite ein Script eingebaut, ist welches eine fremde sehr zweifelhafte Webseite aufruft. Scheint ganz neu zu sein.
Mein Scriptblocker hat das gesperrt.
Ich habe mir diese fremde Webseite www.browser-update.org mal angeschaut. Keine Namen, keine Anschrift, kein Impressum. Man kann nicht erkennen wer genau dahinter steckt!
Diese fremde Seite ihrerseits führt weiteren, aber nicht erkennbaren Scriptcode aus, der angeblich nur prüft, ob man einen veralteten Browser benutzt und soll angeblich in diesem Fall ein Warnfenster einblenden.
Was dieses Script wirklich tut, weiss keiner und kann keiner feststellen. Es wäre denhbar, darüber Trojaner oder sonstige "Untiere" einzuschleusen.
Oder auch das Benuterverhalten zu prokollieren! Wer macht wann was etc.
Ich traue dieser Sache nicht und werde dieses Script auch nicht zulassen. Keiner kann feststellen, was da wirklich passiert. Auch TU hat keinerlei Einfluss darauf was diese fremde Webseite eventuell anstellt.
Und ich lasse mich nicht von mir unbekannten Diensten ausspähen!
Vermutlich ist es harmlos. Aber ich traue aufgrund diverser erlebter Internetsauereien durch fremde Webseiten niemandem mehr.
Stichwort Schäuble-Trojaner etc.
Es gibt auch keinerlie Grund für TU so ein fremdes unsicheres Tool in die eigene Webseite einzubauen. Welchen Browser ein Kunde benutzt, kann man selber mit ein paar Zeilen Code feststellen und den User entsprechend informieren. Sofern das relevant wäre.
TU trägt aber die Verantwortung, falls durch dieses fremde unsichere Script irgendwas Schlimmes passieren sollte. Was gedenkt TU dann zu tun?
Ich würde als verantwortlicher Webmaster dieses Script sofort entfernen und auf die Verwendung fremder, unbekannter und nicht nachvollziehbarer Scripte gänzlich verzichten! Schon aus Haftungsgründen. Und natürlich um die User vor möglichen Problemen oder Ausspähungen zu schützen.
Mein Tip: Wer einen Scriptblocker wie NoScript für Firefox hat, sollte das blockieren. Es gibt keinen Grund es zu nutzen!
|
|
7seals
Champion
(offline)
Dabei seit 08.2008
4582
Beiträge
|
|
Geschrieben am: 04.06.2010 um 17:43 Uhr
|
|
Wie heißt denn das Script?
|
|
SpongeBernd - 34
Champion
(offline)
Dabei seit 06.2006
2277
Beiträge
|
|
Geschrieben am: 04.06.2010 um 17:43 Uhr
|
|
wahrscheinlich hat sich mal wieder ein werbebanner selbstständig gemacht..
|
|
jogibär - 38
Champion
(offline)
Dabei seit 11.2002
2409
Beiträge
|
|
Geschrieben am: 04.06.2010 um 17:43 Uhr
|
|
Ich habe überhaupt keine Ahnung.
Aber mit den Werbebannern kann das nicht zusammenhängen?
Kawack Kawack - Wie die Wildgänse!
|
|
La_Elite - 35
Profi
(offline)
Dabei seit 07.2009
525
Beiträge
|
Geschrieben am: 04.06.2010 um 17:54 Uhr
Zuletzt editiert am: 04.06.2010 um 17:56 Uhr
|
|
was mir auch schon aufgefallen ist, wenn ich meinen rechner hochfahre, tu starte und mich einlogge, öffnet sich kurze zeit später ein tab mit 'ner werbung...passiert nur einmal pro hochfahren und auch nur wenn ich auf team-ulm.de bin...adware oder ähnliches ist ausgeschlossen, da ad-aware, antivir, spybot und hijackthis NICHTS geunden haben...
uff...grad als ich diese zeilen schrieb hat sich wieder ein tab mit nem ad geöffnet wtf 
dann passiert das wohl mehr als einmal pro rechner hochfahren :/
edit: komischerweise kommt, wenn ich auf das ein oder andere tu-profil surfe, ein pop-up, das mich auffordert nutzername und kennwort einzugeben...aber nur bei bestimmten user-profilen...wie die jetz wieder heißen...ka :/
http://www.pown.it/1759
|
|
BlackRacoon
Experte
(offline)
Dabei seit 03.2010
1488
Beiträge
|
|
Geschrieben am: 04.06.2010 um 17:56 Uhr
|
|
Ich persönlich habe alle Scripte geblockt... auch Google-Analytics (das mir schon aus Prinzip auf die Nüsse geht).
The distance between success and failure can only be measured by one's desire!
|
|
7seals
Champion
(offline)
Dabei seit 08.2008
4582
Beiträge
|
|
Geschrieben am: 04.06.2010 um 17:56 Uhr
|
|
Zitat von La_Elite: edit: komischerweise kommt, wenn ich auf das ein oder andere tu-profil surfe, ein pop-up, das mich auffordert nutzername und kennwort einzugeben...aber nur bei bestimmten user-profilen...wie die jetz wieder heißen...ka :/
Das liegt an einer Werbung, die sich im GB befindet.^^
|
|
La_Elite - 35
Profi
(offline)
Dabei seit 07.2009
525
Beiträge
|
|
Geschrieben am: 04.06.2010 um 17:58 Uhr
|
|
Zitat von 7seals: Zitat von La_Elite: edit: komischerweise kommt, wenn ich auf das ein oder andere tu-profil surfe, ein pop-up, das mich auffordert nutzername und kennwort einzugeben...aber nur bei bestimmten user-profilen...wie die jetz wieder heißen...ka :/
Das liegt an einer Werbung, die sich im GB befindet.^^
daran habe ich auch schon gedacht...ich war/bin aber glaub zu doof um zu checken wie des funktionieren soll...deren GB einträge waren außerdem meißt nur voll mit text^^
http://www.pown.it/1759
|
|
7seals
Champion
(offline)
Dabei seit 08.2008
4582
Beiträge
|
Geschrieben am: 04.06.2010 um 18:02 Uhr
Zuletzt editiert am: 04.06.2010 um 18:03 Uhr
|
|
Zitat von La_Elite: daran habe ich auch schon gedacht...ich war/bin aber glaub zu doof um zu checken wie des funktionieren soll...deren GB einträge waren außerdem meißt nur voll mit text^^
TOMKRAFT hieß der Benutzer der diese Werbung verbreitet hat, die Werbung selbst sieht man nicht mehr, aber der GB ist oftmals noch da und ruft die Eingabeaufforderung auf.
Wie heißt jetzt dieser ach so komische Script?
Ohne den Namen kann ich das hier iwie nicht ernst nehmen...
Weil im Quelltext find ich nichts.
|
|
warlock - 37
Profi
(offline)
Dabei seit 11.2005
446
Beiträge
|
|
Geschrieben am: 04.06.2010 um 18:10 Uhr
|
|
ach wie schön snd doch sandboxes
Kaffee ohne Koffein ist wie seine Schwester zu lecken. Schmeckt richtig, ist aber falsch.
|
|
lupo-52 - 73
Fortgeschrittener
(offline)
Dabei seit 05.2010
44
Beiträge
|
|
Geschrieben am: 04.06.2010 um 18:11 Uhr
|
|
Zitat von 7seals: Wie heißt denn das Script?
siehe ww.bowser-update.org - von dort wird offensichtlich weiterer Code nachgeladen bzw. ausgeführt.. Kannst du dir ja alles mit "Web-Developer"-Tool anschauen.
Das ist der Teil den man einbinden und starten muss. Den Rest sieht man nur mit speziellen Tools.
function tu_init(){
loadDomReady = new Date().getTime();
msg_report();
new PeriodicalExecuter(msg_report, 60);
// Browser-Update
var e = document.createElement("script");
e.setAttribute("type", "text/javascript");
e.setAttribute("src", "http://browser-update.org/update.js");
document.body.appendChild(e);
}
|
|
lupo-52 - 73
Fortgeschrittener
(offline)
Dabei seit 05.2010
44
Beiträge
|
|
Geschrieben am: 04.06.2010 um 18:13 Uhr
|
|
Zitat von 7seals: Zitat von La_Elite: daran habe ich auch schon gedacht...ich war/bin aber glaub zu doof um zu checken wie des funktionieren soll...deren GB einträge waren außerdem meißt nur voll mit text^^
TOMKRAFT hieß der Benutzer der diese Werbung verbreitet hat, die Werbung selbst sieht man nicht mehr, aber der GB ist oftmals noch da und ruft die Eingabeaufforderung auf.
Wie heißt jetzt dieser ach so komische Script?
Ohne den Namen kann ich das hier iwie nicht ernst nehmen...
Weil im Quelltext find ich nichts.
In der normalen Quelltextanzeige sieht man es auch nicht. Lade dir "Web-Developer"-Tools für den FF. Damit kannst du alles analyseren was dein FF macht und vorgelegt bekommt.
|
|
septicus 
Team-Ulmler
(offline)
Dabei seit 08.2002
4436
Beiträge
|
Geschrieben am: 04.06.2010 um 18:15 Uhr
Zuletzt editiert am: 04.06.2010 um 18:26 Uhr
|
|
@lupo-52:
Große Töne spucken, ist deine Stärke, Recherche betreiben dagegen wohl nicht.
1) Ja, Browserupdate.org bietet ein Skript an, das die Browserversion ermittelt und im Fall von vom Seitenbetreiber eingestellten nicht erfüllten Mindestanforderungen eine Warnung einblendet und etliche Browser bzw. aktuelle Versionen zum Update anbietet. Das macht allein schon aus Sicherheitserwägungen heraus Sinn.
2) Ein Impressum hat die Seite sehr wohl. Einfach mal dort auf Kontakt klicken (http://browserupdate.org/contact.html)
3) Ja, Team-Ulm.de hat seit dem letzten Update dieses Script beim Start eingebunden.
4) Dir ist augenscheinlich nicht bekannt, dass man Sicherheitslücken und vermeintliche Sicherheitslücken erstmal an den Hersteller der Software kommuniziert, damit dieser sich dazu äußern und im tatsächlichen Fall des Vorliegens einer Lücke die Möglichkeit hat, diese zu stopfen.
Stattdessen machst du hier ein Riesen-Bohei, spiegelst falsche Tatsachen vor und verbreitest unwahre Aussagen.
|
|
7seals
Champion
(offline)
Dabei seit 08.2008
4582
Beiträge
|
|
Geschrieben am: 04.06.2010 um 18:28 Uhr
|
|
@ septicus:
Hab ich als User einen Nachteil, wenn ich den Script blocke?
Was für ein Bohei. ^^
|
|
septicus
Team-Ulmler
(offline)
Dabei seit 08.2002
4436
Beiträge
|
|
Geschrieben am: 04.06.2010 um 18:31 Uhr
|
|
Zitat von 7seals: @ septicus:
Hab ich als User einen Nachteil, wenn ich den Script blocke?
Was für ein Bohei. ^^
Dir wird - wenn dein Browser veraltet ist - nicht mehr angezeigt dass er veraltet ist. Das ist alles.
Wenn du darauf verzichten möchtest, kannst du das Skript gerne blocken. Wenn du für diesen Hinweis dankbar bist, empfehlen wir, das Skript nicht zu blocken.
|
|
lupo-52 - 73
Fortgeschrittener
(offline)
Dabei seit 05.2010
44
Beiträge
|
|
Geschrieben am: 04.06.2010 um 18:34 Uhr
|
|
<snip>
> Stattdessen machst du hier ein Riesen-Bohei,
Aha - ich schilderte ruhig und sachlich ein mögliches Sicherheitsloch.
Und was machts du? Du fühlst dich wohl besonders persönlich angegriffen, dass du derat schon als unverschämt zu bezeichnend, zurückschiesst.
Da kann man nur den Kopf schütteln! Andere Webmaster oder Supporter sagen Danke, wenn man auf mögliche Probleme hinweist.
> spiegelst falsche Tatsachen vor und verbreitest unwahre Aussagen.
Was war an meiner Schilderung falsch? Was war unwahr?
Hast du auch Fakten oder kannst du bloß blöde daherreden?
Ich lasse mich gerne sachlich belehren. Aber nicht dumm anquatschen!
Und die Seite hat definitv kein Impressum! Wenn du eines findest, darfst du es mir gerne zeigen.
> Ob das wohl daher rührt, dass du dich über einen unserer Mitarbeiter beschwert hast und von uns die Antwort erhalten hast, dass dieser sich korrekt verhalten hat?
Toll - was geht das hier die Öffentlichkeit an, wenn ich mich über jemanden beschwere?
Schon mal was von Datenschutz gehört?
Ausgerechnet dieser Jemand machte ein Mordstheater, als ich ihm ankündigte, öffentlich über gewisse Zensurvorgänge hier im Forum zu berichten.
> Äußerst charakterschwach, so etwas....
Wenn du nur beleidigen und pöbeln kannst, dann tust du mir leid.
|
|
[