Flattr-Manipulation ist möglich!
04.06.2010 yahe code legacy security thoughts update
Gestern habe ich darüber berichtet, dass ich mir nun auch einen der Beta-Accounts der neuen Micropayment-Plattform Flattr geholt habe. Am Ende des Artikels hatte ich eine mögliche Angriffsfläche erwähnt, die auch schon bei Twitter ausgenutzt worden ist. Wie ich nun durch eigene Tests herausgefunden habe, ist es tatsächlich möglich, Besucher einer Seite dazu zu bringen, völlig unbekannte Seiten zu flattrn.
Das Potential von Flattr
03.06.2010 yahe legacy security thoughts
Flattr ist ein sogenannter Micropayment-Dienst. Er ist dafür da, Kleinstbeträge von einem Kunden zu einem Anbieter zu transferieren. Interessant an dem Konzept von Flattr ist der Grund, warum man das Geld transferiert und die Art, wie die Höhe der Bezahlung bestimmt wird. Der Grund für die Bezahlung ist bei Flattr nicht der Zugang zu Inhalten. Der Inhalt ist für jeden Besucher verfügbar, auch für Leute, die ihn nicht bezahlen.
Hooking mit uallCollection
20.02.2010 yahe code legacy security windows
Ich habe die letzten Tage an einem Projekt gearbeitet, für das ich systemweit API-Aufrufe hooken können musste. Leider ist dieses Unterfangen nicht so einfach. Im Internet finden sich einige Lösungen für dieses Problem: Angefangen beim Schreiben von Systemtreibern, bis hin zum Injizieren von Threads in bereits laufende Prozesse.
Der EIGENE lokale DNS-Server: BINDcnf
16.05.2009 Yahe administration code legacy security windows
Die Idee, einen alternativen DNS-Server zu verwenden, um der geplanten, staatlichen Internetzensur zu entgehen, ist nicht neu. Anleitungen, wie man die entsprechenden Einstellungen im System vornimmt, gibt es zur Genüge im Internet. Jedoch hat sich bisher immer die Frage gestellt, welchen DNS-Server man denn als Alternative nutzen soll, denn es gibt einige zur Auswahl und bei den meisten hat man keine Ahnung, wer diese betreibt und aus welchem Grund. Bei der Umgehung der Netzsperre sollten jedoch genau diese Informationen im Vordergrund stehen, um die eigene Sicherheit nicht zu gefährden.
Shared Hosting: Angriff auf Sessions möglich
08.05.2009 Yahe administration legacy linux security
Heute gibt es einen schon lange geplanten Artikel zu einem größeren Sicherheitsproblem. Meiner Erkenntnis nach könnte diese Lücke alle Shared Hosting Kunden betreffen, auch solche bei Reselling-Anbietern. Das Problem bei dieser Art des Webhostings ist, dass alle Webseiten von verschiedenen Kunden auf ein und demselben Server liegen und nur durch entsprechend gesetzte Zugriffsrechte voneinander getrennt sind. Das Problem hierbei ist, dass diese Zugriffsrechte nur mit viel Aufwand ganzheitlich durchsetzbar sind.
