Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

Ermitteln von Final-Koordinaten mit JS

Allgemeiner Austausch zum Thema Geocaching.

Moderator: jmsanta

greiol
Geoguru
Beiträge: 4905
Registriert: Di 22. Nov 2005, 10:26

Re: Ermitteln von Final-Koordinaten mit JS

Beitrag von greiol »

Nicole hat geschrieben:Ist das nun das Aus für Trackables? Wer sie loggt, begibt sich in Gefahr und ermöglicht erst das Ausspähen ;)
ist das das aus fürs internet? wer eine seite aufruft begibt sich in gefahr und ermöglicht erst das auspähen ;)
Wer vom Ziel nicht weiß, kann den Weg nicht haben
(Christian Morgenstern)
Benutzeravatar
Dunuin
Geocacher
Beiträge: 225
Registriert: Fr 14. Mär 2008, 10:34
Wohnort: Hamburg-Wandsbek / Langballig / Hallabro

Re: Ermitteln von Final-Koordinaten mit JS

Beitrag von Dunuin »

Ich hab gerade selbst nen JS in meinen eigenen TB eingefügt und NEIN es wurde noch nicht behoben.
Könnte mir jetzt super selbst die Cookies klauen.^^

Wer testen möchte, ob die Lücke inzwischen behoben wurde, oder ob das deaktivieren von JS auf GC.com klappt, der kann meinen TB angucken.
Solange die Lücke nicht behoben ist, solltet ihr ein Popup bekommen, was euch sagt, dass ihr vorerst Javascript besser deaktivieren solltet. Ausgespäht wird dabei im übrigen nichts, das Script macht nichts weiteres als ein Popup mit Warnhinweis zu öffnen.

Edit 25.09:
Immer noch nicht behoben.

Edit 25.09 15:30:
Und immer noch nicht...die lassen sich wirklich Zeit.
BildBild
Benutzeravatar
Dunuin
Geocacher
Beiträge: 225
Registriert: Fr 14. Mär 2008, 10:34
Wohnort: Hamburg-Wandsbek / Langballig / Hallabro

Re: Ermitteln von Final-Koordinaten mit JS

Beitrag von Dunuin »

Und immer noch nicht behoben...
Hat das überhaupt mal wer GC.com mitgeteilt?
Kann doch nicht angehen, dass eine Sicherheitslücke, welche Accountübernahmen ermöglicht einen knappen Monat offen bleibt?

Edit:
So, ich habe jetzt mal direkt an GC.com gewand, da der Reviewer auch nicht helfen konnte.
Im übrigen kann man nicht nur jedes Javascript einfügen, sondern jeglichen HTML-Tag.
Mit dem iframe-Tag kann man so auch jeden Dateityp in die TB-Seite einbinden etc.
Echt üble Sicherheitslücke und nach über 3 Wochen immer noch nicht behoben. Habe irgendwie nicht das Gefühl, dass die überhaupt jemanden haben, der dafür sorgt, dass die Seite sicher ist. Wenn ich denen schon Geld zahle, damit die die Seite pflegen, dann sollte man doch eigentlich auch davon ausgehen, dass die zügig die Fehler beheben, wenn sie schon nicht in der Lage sind, das professionell zu programmieren.
Ist ja jetzt nicht so, dass man irgendwie daran tüfteln müsste, deren Sicherheitsvorkehrungen zu überlisten, da einfach garkeine existieren und Nutzereingaben direkt in den Quelltext eingefügt werden...
BildBild
Benutzeravatar
König Moderig
Geowizard
Beiträge: 1018
Registriert: Do 3. Aug 2006, 22:34
Wohnort: Bonn
Kontaktdaten:

Re: Ermitteln von Final-Koordinaten mit JS

Beitrag von König Moderig »

Nur als Anmerkung:

Die Paragraphen, die hier genannt werden, sind hinfällig, da wir keine brauchbare Definition dafür haben, was private Daten sind. Die Daten auf GC.com gehören, wie ihr alle "unterschrieben" habt, Groundspeak. Also, solange man sich auf Finalkoords beschränkt, klaut man keine Daten vom User sondern von Groundspeak.

Da diese Daten jedoch im Internet verfügbar sind, käme hier das Thema "Unwirksam machen von Schutzmechanismen", was eindeutig nicht passiert. Der Angreifer benutzt ein "Feature" der Website.

Außer Frage steht allerdings dass die Ausnutzung einer solchen Lücke unmoralisch ist. Als Proof of Concept hätte ich das sicherlich auch gebaut, aber zeitgleich mit der Mail an Groundspeak.

Ich habe die SIcherheitslücke übrigens schon vor drei Wochen direkt an Groundspeak gemeldet, bisher aber keine Reaktion erhalten. Und gefixt ist es auch noch nicht.

Noch was: Der Code muss nicht im Kontext der GC.com-Website ausgeführt werden, CSRF geht auch. Im Zweifelsfall reicht ein geschickt verlinktes Bild in einem Beitrag hier im Forum. Das wird teilweise durch das Shared-Secret der GC.com-Website abgefangen, aber nicht wirklich wirksam.

-nik
Zuletzt geändert von König Moderig am Mo 28. Sep 2009, 11:55, insgesamt 1-mal geändert.
Benutzeravatar
König Moderig
Geowizard
Beiträge: 1018
Registriert: Do 3. Aug 2006, 22:34
Wohnort: Bonn
Kontaktdaten:

Re: Ermitteln von Final-Koordinaten mit JS

Beitrag von König Moderig »

BTW, hat's schon mal jemand mit ASP versucht :P ?
goldensurfer
Geoguru
Beiträge: 3227
Registriert: Di 12. Okt 2004, 09:41
Wohnort: Fürth
Kontaktdaten:

Re: Ermitteln von Final-Koordinaten mit JS

Beitrag von goldensurfer »

die-wölfe hat geschrieben:(Da könnte man dann noch eine Fake-Box mit Logbuch hin legen und herausfinden, wer Final -Koordinaten gestohlen hat.)
...oder eine Coin, wenngleich diese hier einem anderen Zweck dient ;)
eCiao Bild
Ralf aka goldensurfer

Bild Hardcoreprogrammierer verwechseln Weihnachten mit Halloween, weil: OCT 31 == DEC 25
jmsanta
Geoguru
Beiträge: 4417
Registriert: So 20. Aug 2006, 22:02
Wohnort: NRW

Re: Ermitteln von Final-Koordinaten mit JS

Beitrag von jmsanta »

Dunuin hat geschrieben:Ich hab gerade selbst nen JS in meinen eigenen TB eingefügt und NEIN es wurde noch nicht behoben.
[...]
Edit 25.09 15:30:
Und immer noch nicht...die lassen sich wirklich Zeit.
aha -also ich finde im quellcode nix mehr...

Code: Alles auswählen

<strong>Current GOAL:</strong>&nbsp;
	<span id="ctl00_ContentBody_BugDetails_BugGoal">Please take me to Scotland(or the direction).</span>
	</p>
<p>
	<strong>About this item:
		</strong><br>
	<span id="ctl00_ContentBody_BugDetails_BugDetails">Please make a photo of you, this Travelbug and the location you are and upload it with your TB-log.</span></p>
und es poppt natürlich auch nach deaktivierung der üblichen sicherheitseinrichtung bei mir auch nichts mehr auf...
Mt 5,3-11 (Lut. '84)
Antworten