![]() |
Stellenmarkt
Quality Manager (m/w) im Projekt C
Softwareintegrator Runtime-Platform (m/w)
SAP-ABAP-Entwickler (m/w) Verwandte ThemenSecurity, Internet, Soziales Netz Verwandte ArtikelNeue AGB: Hacken von studiVZ soll 6.000,- Euro kosten Aufsichtsrat: Ehssan Dariani raus aus operativem Geschäft Letzte MeldungenSony hofft auf das große Geld mit 3D Weg frei für 4-GByte-Module: Hynix mit 40nm-DRAMs XMLHttpRequest auf dem Weg zum Webstandard Verleiher: Nicht alle Filme auf Blu-ray bieten mehr Qualität Neues Verfahren für Herstellung von OLEDs Fedora setzt Rechte bei Software-Installation zurück Star Trek Online: Kurs auf offene Beta im Januar 2010 Canonical arbeitet für Google an Chrome OS Spieletest: Left 4 Dead 2 - untotes Multiplayergemetzel RFID-Chips machen Metallteile schlau GPL-Programm Fpflac nutzt mehrere Prozessoren CHKDSK-Bug nervt Nutzer von Windows 7 (Update) AOL kündigt 2.500 Mitarbeitern und verkauft MapQuest und ICQ AMD: Nur einige tausend Radeon 5800 pro Woche Kreditkartenumtausch: Banken fordern Entschädigung Call of Duty 6: Wirbel um gesperrte Accounts auf Steam HDMI bekommt aussagekräftige Logos Mozilla steigert Umsatz und Kosten Dell sieht Belebung bei PC-Nachfrage von Firmenkunden Regierung startet Offensive Elektroauto PHP 5.3.1 beseitigt zahlreiche Fehler Dell mit Tintenstrahl-Multifunktionssystemen in Serie Youtube untertitelt Videos per Spracherkennung automatisch LED-Multifunktionsdrucker von Oki Funktioniert trotzdem: Fernbedienung ohne Batterie Haben wir etwas übersehen? Dann Mail an news@golem.de. |
||||||||||||||||||||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||||||||||||||||||
studiVZ verspricht Belohnung für Sicherheitslücken (Update)Studentenportal am Donnerstag wegen eines neuen XSS-Angriffs offline
Die Seite sei wegen eines XSS-Angriffs "vorsichtshalber offline", heißt es im Blog von StudiVZ. Der Angreifer habe aber weder auf Daten noch auf Passwörter zugreifen können. Der Ausfall soll rund eine Stunde dauern.
Im Blog wird auch auf eine weitere Neuigkeit hingewiesen: der geplanten Belohnung für das Auffinden von Sicherheitslücken. StudiVZ bietet nun für die Meldung von weiteren XSS- oder CSRF-Sicherheitslücken eine Belohnung von 256,- Euro - zunächst war von 128,- Euro die Rede - an. Bedingung ist allerdings, dass die Seitenbetreiber Zeit erhalten, das Problem zu beheben, ohne dass die Schwachstelle vom Hinweisgeber bereits technisch ausgenutzt oder veröffentlicht wird. Derzeit landen entsprechende Entdeckungen eher in den Kommentaren der Blogbar oder des Blogs von Jörg-Olaf Schäfers, die ihrerseits auf einige Sicherheitslücken aufmerksam gemacht haben. So wurde heute über einen Kommentar in der Blogbar bekannt, dass es Nutzern von studiVZ ohne großen Aufwand möglich ist, Mitglied einer geschlossenen Gruppe zu werden. Dazu muss nur eine entsprechende URL aufgerufenden werden, mit der sich ein Nutzer selbst in eine solche, angeblich geschlossene Gruppe, einlädt. Auch finden sich Hinweise darauf, wie sich die von studiVZ genutzten alphanummerischen IDs in nummerische umrechnen lassen. Das macht es unter anderem einfacher, alle Nutzerseiten nacheinander abzugrasen. Das automatisierte Auslesen von Daten aus öffentlich zugänglichen Nutzerseiten ("Crawling") hat studiVZ mittlerweile aber nach eigenen Angaben erschwert. Was ohne Ausnutzung von Sicherheitlücken möglich war, zeigt ein Screenshot bei Jörg-Olaf Schäfers. Dies ist allerdings kein Problem, das nur studiVZ betrifft. In der Vergangenheit ist mehrfach von Nutzern der Studentenplattform der Versuch unternommen worden, Nutzerdaten auf studiVZ mittels derartiger automatisierter Verfahren auszulesen. "Es ist bedauerlich, wenn einzelne Nutzer versuchen, Daten von anderen Studenten selbst oder mit Hilfe von automatisierten Verfahren auszulesen. Diesem Missbrauch schieben wir, so gut es technisch möglich ist, einen Riegel vor. Wer versucht, Daten auszulesen, wird gesperrt", so Manfred Friedrich. "Crawler-Angriffe sind ein generelles Problem für soziale Netzwerke im Internet, weil als 'öffentlich' geschaltete Informationen von den registrierten Nutzern, aber genauso auch von automatisierten Abfrage-Scripten gelesen werden können." Für die Nacht zu Donnerstag hatte studiVZ wieder einmal eine Wartungspause angekündigt. Heute heißt es in einer Pressemitteilung, studiVZ habe sich zum Ziel gesetzt, "die Sicherheit seines Angebots weiter aktiv zu verbessern, nachdem zu diesen Aspekten in den vergangenen Wochen wiederholt Kritik geäußert wurde." Das Unternehmen weist auch darauf hin, bereits vor einigen Wochen externe Experten mit der Suche nach Sicherheitslücken beauftragt zu haben. Nachtrag vom 30. November 2006, 19:15 Uhr: Die XSS-Sicherheitslücke hat studiVZ zwar nach eigenen Angaben mittlerweile behoben, bleibt aber weiter offline. Grund dafür ist die oben schon angesprochene, unerwünschte Möglichkeit, dass sich Nutzer selbst in geschlossene Gruppen eintragen können. (ji)
|
|||||||||||||||||||||||||||||||||||||||||||||||

