Hacker? Lächerliche News

Nur weil jemand fähig ist ein einfaches script zum einloggen und auslesen der daten zu schreiben ist er gleich ein Hacker?

Das kann jeder 12 jährige der schonmal was von PHP (und co) gehört hat. Deswegen ist er noch lange kein Hacker.

Die Daten sind für jeden (angemeldeten) öffentlich zugänglich, also ist das auch keine Sicherheitslücke. Sicher es ist ärgerlich wenn die daten einer Automatisiert abgreift aber schwer ist das sicher nicht und geheime Sachen erfährt er so auch nicht.

Was PHP ist weiß ich. Was (X)HTML, CSS, JavaScript, Java, C++ & co ist weiß ich auch. Ich bin 19. Aber wissen wie das geht tu ich trotzdem nicht :( Bin ich vielleicht geistlich behindert und alle andern wissen das nur ich nicht?

Die Frage ist ja ob du nur weist was das ist oder ob du mal was damit gemacht hast ;)


Ne Fremde Webseite auslesen ist in jeder Programmiersprache einfach, wenn es dann doch mal irgendwo nicht weitergeht hilft einem Google schnell weiter.

ersetze PHP durch HTTP.. dann stimmts.

> geistlich behindert

Frameset und cleintseitiges Javascript reichen auch!

bluberle schrieb:
--------------------------------------------------------------------------------
> Nur weil jemand fähig ist ein einfaches script zum einloggen und auslesen
> der daten zu schreiben ist er gleich ein Hacker?
>
> Das kann jeder 12 jährige der schonmal was von PHP (und co) gehört hat.
> Deswegen ist er noch lange kein Hacker.

Weißt du wie Schülervz funktioniert? Was für Schutzmasnahmen ergriffen wurden?

Ich habe nicht nachgeschaut aber einfach nur zu schreiben, PHP (und co), hört sich für mich so an als wüsstest du nichtmal wie die Seite überhaupt programmiert wurde und was für Sicherheitsmassnahmen ergriffen wurden. Denn es gibt Seiten da ist das nicht so einfach an die Daten ranzukommen.

Aber "Hacker" wird von Journalisten doch schon für ein Scryptkiddie gebraucht, was ein Netzwerk per Nuke Programm lahm gelegt hat.

>
> Die Daten sind für jeden (angemeldeten) öffentlich zugänglich, also ist das
> auch keine Sicherheitslücke. Sicher es ist ärgerlich wenn die daten einer
> Automatisiert abgreift aber schwer ist das sicher nicht und geheime Sachen
> erfährt er so auch nicht.

Wenn Eltern sich darauf verlassen, das die Daten ihrer Kinder sicher sind und dies nicht so ist dann ist das schon übel. Besonders wenn später ein Pädophiler sich an einem Kind vergreift und später gesteht das er genau daher an die Daten gekommen ist! Das kann dann richtig übel werden.

Was nötig ist:
Bestimmten Links folgen, Daten in Datenbank (oder anderem) lokal abspeichern, ab und an ein Captcha (die bei studivz sind einfach zu erkennen, sicherlich auch die bei schuelervz) entschlüsseln und dann weitermachen.

Und wenn man es gut macht noch ein wenig Graphentheorie und schon hat man ein schönes Datagramm der User.

>>Was PHP ist weiß ich. Was (X)HTML, CSS, JavaScript, Java, C++ & co ist weiß ich auch. Ich bin 19. Aber wissen wie das geht tu ich trotzdem nicht :( Bin ich vielleicht geistlich behindert und alle andern wissen das nur ich nicht?


he, mach dir nix draus. die funktion die man dafür in php verwenden würde, setzt man für gewöhnliche sachen ja auch nicht ein. beim kredikarten-validieren nutzt man sowas zB...

Da muss man während der laufzeit eine url aufrufen und den zurückgelieferten wert direkt verbauen. Das könnte man dann für jede Profilseite einzeln machen. da die seiten ja immer identisch aufgebaut sind, lässt sich der ganze crap auch easy auslesen.

also vermute mal, dass das so klappt. hinderniss sind die encodeten urls, aber das könnte man auch über direkte seitenlinks aud profile umgehen. mit der suche kombiniert, lässt sich dann bestimmt alles automatisiert auslesen.

so wäre ich die sache zumindest angegangen.

keineSchande schrieb:
--------------------------------------------------------------------------------
> so wäre ich die sache zumindest angegangen.


...und in 10 Jahren noch nicht fertig.

Wenn nur Leute wie ihr rumlaufen würden, wären meine Daten selbst bei allen VZs dieser Welt sicher. Aber leider kennen die sich mit Datensicherheit nur geringfügig besser aus als ihr. Das reicht heutzutage nich mehr, wenn man mit sensiblen Daten hantiert.

made my day

Aber es hieß doch davon hören, oder? Und wissen was es ist stelle ich über 'davon gehört haben'. Mh..

Hm kommt mir bekannt vor. Hatte Mal ne Einladung bekommen von nen User wo der Nickname nicht zu Lesen war. Komische Zeichen waren das. Ich habe daraufhin die Admins da kontaktiert.

Naja, man schrieb mir, der User bzw. sein Nick wäre lesbar, würde an mein Outlook Express liegen das ich den Nicknamen nicht lesen kann.

Ja nee ist klar jetzt. Öhm Natürlich habe ich die Einladung abgelehnt.

geheim01 schrieb:
--------------------------------------------------------------------------------

> daraufhin die Admins da kontaktiert. > Naja, man schrieb mir, der User bzw. sein Nick wäre lesbar, würde an mein
> Outlook Express liegen das ich den Nicknamen nicht lesen kann.

Is klar, der Fehler muss in Microsofts Outlook liegen aber garantiert nicht bei uns, lol

Ich glaub die Admins bei denen können allgemein nicht lesen, daher kennen die den Unterschied zwischen ner XSS-Injection und nem Username nicht

Ich glaub eher das das ein Crawler war:

http://www.youtube.com/watch?v=pBUJsMu86GU

bluberle schrieb:
--------------------------------------------------------------------------------
> Nur weil jemand fähig ist ein einfaches script zum einloggen und auslesen
> der daten zu schreiben

Schön, dass du gleich deutlich machst, so überhaupt keine Ahnung zu haben, worum und wie es geht.

Um es kurz zu machen: Ein "einfaches Script" reicht(e) nicht, um in kurzer Zeit 1.6 Millionen Datensätze abzuziehen.

Siehe Update. Offensichtlich ist es genau so geschehen.

DerAkademiker schrieb:
--------------------------------------------------------------------------------
> Siehe Update. Offensichtlich ist es genau so geschehen.

Lies noch mal genauer...
Auf Youtube gibt es übrigens zahlreiche Videos, die zeigen, wie man VZ-Daten innerhalb von Minuten automatisiert ausliest.

du bist ja nen honk. die beschriebene Vorgehensweise da klingt einleuchtend. Gegen die Art und Weise, die Datenauszuspähen kann sich kein System schützen und den Umsetzungsweg kann man locker in ner Stunde ans laufen bringen. Das auslesen dauert bestimmt länger als andere Methoden, aber er hat schon Recht, dagegen kann man sich nicht mal schützen, weil man dann auch den normalen Betrachter weg-sperren müsste.

Aber he, wieder so einer, der andere diffamieren muss ohne selbst was besseres zu bringen oder zu erörtern, wieso das 10 jahre dauern soll... lol..

nene schrieb:
--------------------------------------------------------------------------------
> keineSchande schrieb:
> ---------------------------------------------------------------------------
> -----
> > so wäre ich die sache zumindest angegangen.
>
> ...und in 10 Jahren noch nicht fertig.
>
> Wenn nur Leute wie ihr rumlaufen würden, wären meine Daten selbst bei allen
> VZs dieser Welt sicher. Aber leider kennen die sich mit Datensicherheit nur
> geringfügig besser aus als ihr. Das reicht heutzutage nich mehr, wenn man
> mit sensiblen Daten hantiert.

hach kinder, irgendwie gehts - handys funktionieren ja auch irgendwie. nur dass es einer zu haus in seiner freizeit gemacht hat macht ihn noch nicht zum Genie. Es gibt ja schiesslich auch Programme zum automatisierten Testen von Webanwendungen für die Softwareentwicklung. Letztendlich liesst das programm genau das was für alle sichtbar ist, nur zusätzlisch schreibt es das Gelesene auf. Ein bisschen http, dom, javascript, und ein shellscript was ein captcha analysiert + ein bisschen gehirnschmalz. Man kann ja schliesslich mit einfachen Mitteln auch radios bauen und damit über den Ether sagen was man denkt - vermutlich ist man dann auch gleich Kriminell.