Zusammenfassung des Geschehens. R.I.P. gulli ALT

[Noti3]

Re: Zusammenfassung des Geschehens R.I.P. Gulli

Dieses spezifische Problem wird in der Tat von einem Benutzer verursacht, der meine Anmerkung, jemand könnte sich einen CSRF-Spass erlaubt haben, wohl als Aufforderung eben dazu interpretiert hat. Dass das Aufrufen eines beliebigen Board-URIs mit angehängtem styleid-Query-String-Parameter ohne weitere Verifikation zu einem derartigen Cookie führt, ist schliesslich ein bekanntes vBulletin-Feature; da man damit keinen ernsthaften Schaden anrichten kann, habe ich bisher keinen Grund gesehen, das zu unterbinden. Sollte das auch hier missbraucht werden, wäre das natürlich möglich, etwa indem man den Security-Token zum Style-Wechsel verlangt.

Also wenn ich das richtig verstanden habe, präpariere ich einen Link, indem ich z. B.

Spoiler

?styleid=2

anhänge. Ok, aber was bringt mir das? ICH ändere MEINEN Style. Wenn ich dann andere dazu bekomme, dadrauf zu klicken, dann ändert sich auch deren Style. Was jetzt im schlimmsten Fall nervend ist, ich kann mir ja mein Style wieder einstellen?

Oder kann man solch ein Cookie tatsächlich zu schlimmerem einsetzen?

(Das ist jetzt OT, wenn man das nicht hier im thread haben möchte, dann mach ich eben nen neuen auf, oder schreibs per PN an Kugelfisch, wie ihr wollt. Es interessiert mich nur gerade )

 

[Larius]

Re: Zusammenfassung des Geschehens R.I.P. Gulli

Noti3, wenn du den Link irgendwo unterschiebst - bsp. mit tinyurl - und die Leute draufklicken kanns übel werden. Wenn du aber das Knowhow hast und weißt, wo du n Cross Site Script anbringen musst, damit es andere Leute laden, wirds übel.

 

[Kugelfisch]

Re: Zusammenfassung des Geschehens R.I.P. Gulli

Mir ist es passiert und das mehrfach schon, wenn ich von der Forenübersicht in ein Forum wechsel.

Dass der Stil im ungefragt geändert wurde? Im g:b oder im ngb? Wenn das im ngb auftritt, würde ich das natürlich einmal genauer untersuchen, dann wäre interessant, wann und bei welchem Forum das aufgetreten ist (bitte per PN oder in https://ngb.to/threads/60-Sammelthread-Probleme-mit-dem-Forum, um diesen Thread nicht zu entführen).

Also wenn ich das richtig verstanden habe, präpariere ich einen Link, indem ich z. B. ?styleid=2 anhänge. Ok, aber was bringt mir das? ICH ändere MEINEN Style. Wenn ich dann andere dazu bekomme, dadrauf zu klicken, dann ändert sich auch deren Style. Was jetzt im schlimmsten Fall nervend ist, ich kann mir ja mein Style wieder einstellen?

Genau, eben deshalb erachte ich das zu Grunde liegende Problem auch nicht als kritisch. Man kann damit maximal Benutzer verwirren und durch wiederholte Ausnutzung nerven, konkreter Schaden lässt sich damit nicht anrichten.

Allerdings bedingt das Setzen des Cookies nicht, dass tatsächlich jemand auf den Link klickt. Es reicht, wenn der Browser versucht, die entsprechende Ressource zu laden.

 

[kuromi]

Re: Zusammenfassung des Geschehens R.I.P. Gulli

Interessant, demnach müssten alle, die diesen Spaß jetzt miterlebt haben, an irgendeinem Punkt eine Gemeinsamkeit haben.
Ich habe beispielsweise im Gulli selbst keinen Link, der durch User gesetzt wurde, angeklickt (zumindest nicht bewusst). Seit kurzem lese ich im Feedback wieder mit, aber bin sonst nicht aktiv.
Gestern bin ich wegen der hier geschilderten Ereignisse also wieder rüber und wollte dort lesen und es war soweit alles okay als ich das g:b aufrief - dann habe ich den Thread zu weierles angeklickt und sofort war das Mobile Theme da. Ich kann mich beim besten Willen nicht erinnern, wo ich sonst noch hingeklickt haben könnte.

Edit: Ah, ich war noch kurz in der Ansichtssache, weil es hieß die läuft wieder. Aber das war Stunden davor und am Theme hatte sich in der Zeit nichts geändert. Was gibt es sonst noch für Möglichkeiten? Mich interessiert das einfach für mich.

 

[KLDKO]

Re: Zusammenfassung des Geschehens R.I.P. Gulli

Natürlich ist das im G:B passiert Kugelfisch. Wenns hier wäre hättest du schon seit langem ne Nachricht von mir bekommen. Wozu haben wir denn den "kurzen Dienstweg"?


MfG KLDKO

 

[Baer]

Re: Zusammenfassung des Geschehens R.I.P. Gulli

Ich frag mich gerade, ob der gestrige Hack nicht eine Retourkutsche vom lieben Stefan ist. Selbst würde er das nie und nimmer können, er nimmt aber doch Fremdleister in Anspruch. Der zeitliche Rahmen würde ja passen.

Gruß
Baer

 

[Tedious]

Re: Zusammenfassung des Geschehens R.I.P. Gulli

Hast Du nen Screenie? Hab keinen Acc mehr und werde nen Teufel tun einen neuen zu registrieren...

 

[kuromi]

Re: Zusammenfassung des Geschehens R.I.P. Gulli

Ich ergänze mal die Beiträge, die hier gestern noch kamen zumindest vom Inhalt her:

sebone hatte mir geantwortet und den Übeltäter (bzgl. Mobile Theme) aus dem g:b präsentiert - es war der Thread zur Ansichtssache.

Ich hatte das dann getestet und jap - der war's.
Anschließend hatte ich mich gefragt, wieso der Stefan dann unfähig war das Problem zu reproduzieren, zumal er auch in besagtem Thread aktiv war.

(wenige Minuten darauf verschwanden dann die ersten Forenbereiche aus dem ngb.)

Wenige Stunden später hat Stefan btw. drüben das Problem behoben - ich denke daher, der liest hier nach wie vor fleißig (und in Echtzeit) mit oder irgendwer hat ihm die Ursache gesteckt.

Edit: Oh, @bear, Wir denken dahingehend wohl gleich.

 

[badboyoli]

Re: Zusammenfassung des Geschehens R.I.P. Gulli

@Baer:

Bisher schient nichts drauf hinzudeuten das die Aktion von drüben gesteuert wurde.

 

[WoodstockimWeb]

Re: Zusammenfassung des Geschehens R.I.P. Gulli

Tedious:

Spoiler

Habe mal Fugus Beitrag editiert, da es schon ein wenig wie eine Anleitung war.

Trotzdem habe ich das ganze jetzt gefixt und wir wissen auch wie dies passieren konnte. Nämlich das sich ein User die Standard-Funktionen des Forums zu nutzen machte.

Zur Erklärung: Es wurde beim Aufruf von einigen Postings (auch in der Thread-Ansicht) den Usern, wie das gemacht wurde ist an dieser Stelle irrelevant, gesagt "Ab jetzt bitte das Mobil-Style verwenden" und erst mit dem nächsten Seitenaufruf wurde dies sichtbar - daher wirkte es auch so zufällig und breit verstreut.

Natürlich zielte das gegen uns ab und nicht gegen euch User, daher entschuldigen wir uns an dieser Stelle für alle Unannehmlichkeiten.

Sollte das zukünftig erneut vorkommen: Bitte immer die URLs angeben (von den Threads, Postings, was auch immer), wo ihr wart, BEVOR die Änderung erzwungen wurde.

Baer:

Auch wir haben uns gestern diverse Male mit diesem Gedanken beschäftigt, wir waren noch unsicher inwiefern das Eingreifen in unsere Foren wiederherstellbar ist.
Die Jungens und Mädels aus dem Internen kennste ja noch und weisst sicher wer was vom Stapel gelassen hat ;-).


Wir sind nicht der Meinung das Gamigo etwas mit dem Angriff letzter Nacht zu tun hat und würden es begrüssen wenn hier NICHT spekuliert werden würde, auch nicht im Spaß.

Danke und Gruß
Woodstock

 

[Baer]

Re: Zusammenfassung des Geschehens R.I.P. Gulli

Ich halte ja schon meinen Mund, die Gedanken sind aber frei.

Weitermachen und

Gruß
Baer

 

[Fluffy_Unicorn]

Re: Zusammenfassung des Geschehens R.I.P. Gulli

Seit wann tollerieren die denn wieder Threads über das NGB?

http://board.gulli.com/thread/1736202-gb-to/

Als ich den Thread gesehen habe, hab ich gedacht der wird nicht länger als 10 Minuten da stehen .

 

[godlike]

Re: Zusammenfassung des Geschehens R.I.P. Gulli

Schau mal wie der Threadtitel heißt. Hier fällt der Name wohl durch das Raster

 

[Fluffy_Unicorn]

Re: Zusammenfassung des Geschehens R.I.P. Gulli

Oh, da hast du recht. Wird wohl nur noch eine Frage der Zeit sein, bis der Thread ins Nirvana verschwunden ist.

 

[bluefighter]

Re: Zusammenfassung des Geschehens R.I.P. Gulli

den gedanken mit stefan hatte ich auch als ersten...aber wenn das rauskäme würde es ihm den höcker...ähh kopf kosten.
ich vermute aber mal das es etwas mit dem deckelboard zu tun hat.

ist keine spekulation von mir..nur eine logische überlegung.

 

[dapacka]

Re: Zusammenfassung des Geschehens R.I.P. Gulli

Ich wäre da vorsichtig mit solchen Behauptungen. Will hier niemanden in Schutz nehmen aber solange es keine Beweise gibt sollte auch niemand der Schuld bezichtigt werden.

 

[Kugelfisch]

Re: Zusammenfassung des Geschehens R.I.P. Gulli

Ich gehe nicht davon aus, dass der Angriff von Gamigo-Mitarbeitern durchgeführt oder in Auftrag gegeben wurde. Ausserdem würde das die Lage nicht ändern - wie bereits erwähnt: die Schwachstelle ist das Problem, nicht derjenige, der sie ausnutzt.

 

[Schwarzhut]

Re: Zusammenfassung des Geschehens R.I.P. Gulli

Ist auch nur die einzig logische Schlussfolgerung. Ich meine, was hätte jemand der nicht bei Gamigo arbeitet davon, das ngb anzugreifen?

 

[Larius]

Re: Zusammenfassung des Geschehens R.I.P. Gulli

Leute, nochmals: Wir wollen hier keine Diskussion haben wer eventuell an dem Hack schuld ist, schon gar nicht in diese Richtung. Bzgl. "Was bringt es jemand": Lulz bringt es ihm, jede Menge Lulz. Das war nichts anderes wie diverse Foren durchschauen nach Sicherheitslücken, ausnützen, Chaos stiften und fertig.

 

[Kugelfisch]

Re: Zusammenfassung des Geschehens R.I.P. Gulli

Schwachstellen aufzeigen und seine Macht demonstrieren. Dagegen habe ich ja prinzipiell keine Einwände, eher im Gegenteil, ich hätte aber eine simple E-Mail mit einem Hinweis bevorzugt.