Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

Ermitteln von Final-Koordinaten mit JS

Allgemeiner Austausch zum Thema Geocaching.

Moderator: jmsanta

xtb
Geomaster
Beiträge: 508
Registriert: Mi 9. Jan 2008, 08:54

Re: Ermitteln von Final-Koordinaten mit JS

Beitrag von xtb » Mo 31. Aug 2009, 12:28

Draussencacher hat geschrieben: Lediglich, wenn es ein "Proof of concept" gewesen wäre um groundspeak auf die lücke hinzuweisen, hätte ich Verständnis gehabt. Dort ist die Lücke bekannt und wird hoffentlich geschlossen bevor jemand tatsächlich auf die Idee kommt, mit dem Skript noch ganz andere Sachen anzustellen.
Das Problem ist, das GS diese Lücke nur auf der eigenen Seite schliessen kann. Das Script kann aber theoretisch auf jeder Website, egal ob dessen Inhalt mit Geocaching zu tun hat oder nicht, lauern.

Deshalb ist der einzige wirkliche Schutz zum Beispiel NoScript ...
Bild
Oregon 550 ... im Normalfall mit aktueller (Beta) Firmware
und der routingfähigen Europakarte von Computerteddy

Werbung:
Benutzeravatar
fabibr
Geomaster
Beiträge: 887
Registriert: So 22. Apr 2007, 17:31
Wohnort: Lahstedt
Kontaktdaten:

Re: Ermitteln von Final-Koordinaten mit JS

Beitrag von fabibr » Mo 31. Aug 2009, 12:29

Draussencacher hat geschrieben: Da bestiehlt jemand andere Leute, die im glauben sind etwas von ihm zu bekommen.
Das ganze ist wahrscheinlich sogar strafbar in unserem Land. Auch wenn es nur ein Spiel und nur Koordinaten sind, das kannst du doch nicht ernsthaft gutheissen?
Ich wünsche denjenigen, dass sie erwischt werden und von groundspeak gesperrt werden.
Da möchte ich nicht wissen, wie viele es dann betreffen würde?
Es haben sich doch sicher mal mehrere hundert Cacher in Deutschland angeschaut, was da in dem Blog stand. Und diese werden sich auch sicher mal die Seite angeschaut haben, ob man da wirklich was findet. Zumal ich auch nicht glaube, dass sie es so datailliert nachweisen können, wer es sich angeschaut hat.
http://www.uhlencacher.de
Nur wer seine ehrliche Meinung im Log schreibt, kann dafür sorgen, dass die Dosenqualität besser wird.

Draussencacher
Geocacher
Beiträge: 280
Registriert: Di 2. Jun 2009, 20:33

Re: Ermitteln von Final-Koordinaten mit JS

Beitrag von Draussencacher » Mo 31. Aug 2009, 12:37

fabibr hat geschrieben: Da möchte ich nicht wissen, wie viele es dann betreffen würde?
Es haben sich doch sicher mal mehrere hundert Cacher in Deutschland angeschaut, was da in dem Blog stand. Und diese werden sich auch sicher mal die Seite angeschaut haben, ob man da wirklich was findet. Zumal ich auch nicht glaube, dass sie es so datailliert nachweisen können, wer es sich angeschaut hat.
Mich würde der ganze Code auch interessieren, aber ich glaube, den kann man sich nicht ohne großes suchen komplett anschauen. Hoffe ich doch!
Ich meinte lediglich die Personen, welche den Code einsetzen zB bei ihren coins.
xtb hat geschrieben: Das Problem ist, das GS diese Lücke nur auf der eigenen Seite schliessen kann. Das Script kann aber theoretisch auf jeder Website, egal ob dessen Inhalt mit Geocaching zu tun hat oder nicht, lauern.

Deshalb ist der einzige wirkliche Schutz zum Beispiel NoScript ...
Auf den groundspeak-seiten ist man automatisch schon angemeldet, wenn man die coin loggt. Also ist es hier doch erheblich einfacher den code auszuführen.
Wenn man den code auf einer anderen url ausführt, dann dürfte es doch auch schwieriger sein, die Sicherheitseinstellungen des Browsers (auch ohne no-script) zu umgehen oder?
Oder ist es dann genauso einfach?

xtb
Geomaster
Beiträge: 508
Registriert: Mi 9. Jan 2008, 08:54

Re: Ermitteln von Final-Koordinaten mit JS

Beitrag von xtb » Mo 31. Aug 2009, 12:37

fabibr hat geschrieben:Zumal ich auch nicht glaube, dass sie es so datailliert nachweisen können, wer es sich angeschaut hat.
Das ist eigentlich egal, Account sperren für den Versuch.

In Deutschland gilt ausserdem:

StGB § 202c (Vorbereiten des Ausspähens und Abfangens von Daten)
wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
Bild
Oregon 550 ... im Normalfall mit aktueller (Beta) Firmware
und der routingfähigen Europakarte von Computerteddy

Benutzeravatar
ScandinavianMagic
Geomaster
Beiträge: 822
Registriert: Mo 1. Aug 2005, 21:07
Wohnort: WN, BaWü
Kontaktdaten:

Re: Ermitteln von Final-Koordinaten mit JS

Beitrag von ScandinavianMagic » Mo 31. Aug 2009, 22:07

Draussencacher hat geschrieben:
xtb hat geschrieben: Das Problem ist, das GS diese Lücke nur auf der eigenen Seite schliessen kann. Das Script kann aber theoretisch auf jeder Website, egal ob dessen Inhalt mit Geocaching zu tun hat oder nicht, lauern.

Deshalb ist der einzige wirkliche Schutz zum Beispiel NoScript ...
Auf den groundspeak-seiten ist man automatisch schon angemeldet, wenn man die coin loggt. Also ist es hier doch erheblich einfacher den code auszuführen.
Wenn man den code auf einer anderen url ausführt, dann dürfte es doch auch schwieriger sein, die Sicherheitseinstellungen des Browsers (auch ohne no-script) zu umgehen oder?
Oder ist es dann genauso einfach?
Nein. Das oben genannte Script funktioniert nur so, wenn es im Kontext der gc.com-Seite laufen kann. Und das wiederum geht halt nur, wenn jeder beliebige User JS-Code in die gc.com-Seite einschleussen kann.
Anders müsste das Script, wenn es z.B. auf Domain xyz.com läuft, den HTML-Code von gc.com laden. Scripte können aber bei einigermaßen aktuellen Browsern auf keine Daten von anderen Domains zugreifen. Ansonsten wären Online-Banking/Shopping usw. schon längst tot.

Eindeutig in diesem Fall ein Versäumnis von Groundspeak, muss man leider mal wieder sagen.
Solang die dicke Frau noch singt, ist die Oper nicht zu Ende

xtb
Geomaster
Beiträge: 508
Registriert: Mi 9. Jan 2008, 08:54

Re: Ermitteln von Final-Koordinaten mit JS

Beitrag von xtb » Di 1. Sep 2009, 07:56

ScandinavianMagic hat geschrieben:Nein. Das oben genannte Script funktioniert nur so, wenn es im Kontext der gc.com-Seite laufen kann. Und das wiederum geht halt nur, wenn jeder beliebige User JS-Code in die gc.com-Seite einschleussen kann.
Anders müsste das Script, wenn es z.B. auf Domain xyz.com läuft, den HTML-Code von gc.com laden. Scripte können aber bei einigermaßen aktuellen Browsern auf keine Daten von anderen Domains zugreifen. Ansonsten wären Online-Banking/Shopping usw. schon längst tot.

Eindeutig in diesem Fall ein Versäumnis von Groundspeak, muss man leider mal wieder sagen.
Gut zu wissen ... danke für die Info :)
Bild
Oregon 550 ... im Normalfall mit aktueller (Beta) Firmware
und der routingfähigen Europakarte von Computerteddy

HowC
Geomaster
Beiträge: 849
Registriert: Fr 9. Jan 2009, 14:08
Wohnort: A4020

Re: Ermitteln von Final-Koordinaten mit JS

Beitrag von HowC » Mi 23. Sep 2009, 22:13

hcy hat geschrieben:Also ich find’s eigentlich genial. Warum immer die Phobie davor, einen Cache mal nicht so zu machen wie vom Owner befohlen. So ein Script zeigt doch zumindest Gehirnschmalz.
naja... Gehirnschmalz von dem ders geschrieben hat, dem sei ein gewisser Respekt gezollt. Wenn das wer NUR anwendet ohne zu verstehen ... (nannte man die nicht script-kiddy)dann ists einfach nur arm/billig.

Benutzeravatar
Dunuin
Geocacher
Beiträge: 225
Registriert: Fr 14. Mär 2008, 10:34
Wohnort: Hamburg-Wandsbek / Langballig / Hallabro

Re: Ermitteln von Final-Koordinaten mit JS

Beitrag von Dunuin » Mi 23. Sep 2009, 23:40

Koordinatenklau ist dabei nicht das Problem...
Sobald ich in der Lage bin, JS-Code in die GC.com Seite einzuschleusen, kann ich die Cookies auslesen und mir auf einen Server zuschicken lassen, inkl. des Session-Cookies und wenn ich das habe, kann ich mir die Session klauen und habe somit vollen Zugriff auf den Account. Kann ihn also nach belieben nutzen, um den Account zu löschen, die Adresse und Name des Besitzers anzugucken und bekomme ich zuGriff auf einen Reviewer-Account sind mal schnell alle Deutschen Caches archiviert.
Hoffe die Beheben die Lücke schnell, denn eine Accountsübernahme ist echt ein Kinderspiel, da braucht man keine Minute für um das zu programmieren und lesen wie es geht kann man ja überall.

Würde jedem empfehlen JS für Geocaching.com zu deaktivieren, bis die die Sicherheitslücke behoben haben.
BildBild

Nicole
Geomaster
Beiträge: 326
Registriert: Di 16. Jun 2009, 20:06

Re: Ermitteln von Final-Koordinaten mit JS

Beitrag von Nicole » Do 24. Sep 2009, 07:26

Ist das nun das Aus für Trackables? Wer sie loggt, begibt sich in Gefahr und ermöglicht erst das Ausspähen ;)

Benutzeravatar
hcy
Geoguru
Beiträge: 5977
Registriert: Di 24. Mai 2005, 15:56

Re: Ermitteln von Final-Koordinaten mit JS

Beitrag von hcy » Do 24. Sep 2009, 08:55

Lt. Dosenfischer-Blog von heute wurde das Problem von Groundspeak bereits gefixt.
"Good spelling, punctuation, and formatting are essentially the on-line equivalent of bathing." -- Elf Sternberg
"...- the old fashioned way (trads only, exceptions may appear)" -- HHL

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder