1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Angriff von innen: Router per E-Mail…

GET vs. PUT

Anzeige
  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. GET vs. PUT

    Autor: hartnegg 30.11.12 - 09:10

    Das ist sehr wohl eine Sicherheitslücke im Router.
    Denn GET-Anfragen sollen niemals Änderungen im Server bewirken.
    Dafür sind PUT-Requests da. Die lassen sich so nicht missbrauchen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: GET vs. PUT

    Autor: fletschge 30.11.12 - 10:09

    Was ist eine PUT Anfrage? Meinst du POST?
    Wenn ja, wieso soll das mit POST nicht funktionieren?

    EDIT: Meinst du eine HTTP PUT?



    1 mal bearbeitet, zuletzt am 30.11.12 10:10 durch fletschge.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: GET vs. PUT

    Autor: a user 30.11.12 - 10:24

    gute frage

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: GET vs. PUT

    Autor: chrulri 30.11.12 - 10:26

    Weil du für einen POST nicht einfach nur ein Mail anschauen sondern auch etwas klicken musst.
    Du kannst keinen POST Request via iframe durchführen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: GET vs. PUT

    Autor: leipsfur 30.11.12 - 10:30

    chrulri schrieb:
    --------------------------------------------------------------------------------
    > Weil du für einen POST nicht einfach nur ein Mail anschauen sondern auch
    > etwas klicken musst.
    > Du kannst keinen POST Request via iframe durchführen.


    Unfug...

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: GET vs. PUT

    Autor: frostbitten king 30.11.12 - 10:47

    Put gibts, ist trotzdem falsch die Aussage des Vorposters imho. PUT wird hier nicht verwendet. http://www.w3.org/Protocols/rfc2616/rfc2616-sec9.html#sec9.6.
    Der einzige Anwendungsfall der mir zu PUT/DELETE einfällt sind REST Services.
    Das ganze basiert quasi auf Resources. PUT erstellt eine Neue, oder modifiziert eine Vorhandene und DELETE ist selbsterklärend. Wobei PUT ginge wohl auch in dem Anwendungsfall, bin mir aber nicht sicher.
    Abgesehen davon im WWW findet PUT/DELETE kaum Anwendung (bild mir auch ein gelesen zu haben, dass die meisten Browser PUT/DELETE nicht mal richtig implementiert haben).

    Benutzer wird von Ihnen ignoriert. Anzeigen

  7. Re: GET vs. PUT

    Autor: c3rl 30.11.12 - 10:48

    leipsfur schrieb:
    --------------------------------------------------------------------------------
    > Unfug...

    Achja? Ich entwickle seit nun knapp zehn Jahren Webanwendungen und kenne keine Möglichkeit einem Iframe zu sagen, dass es eine POST-Anfrage schicken soll. Erleuchte uns doch bitte wie das geht.

    Das Mindeste was du dafür brauchst ist JavaScript - und das kann kein mir bekannter Mail-Client.



    1 mal bearbeitet, zuletzt am 30.11.12 10:49 durch c3rl.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  8. Re: GET vs. PUT

    Autor: chrulri 30.11.12 - 11:12

    Dann erzähl mal wie das geht, ich bin gerne bereit neues zu lernen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  9. Re: GET vs. PUT

    Autor: leipsfur 30.11.12 - 11:40

    c3rl schrieb:
    --------------------------------------------------------------------------------
    > leipsfur schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Unfug...
    >
    > Achja? Ich entwickle seit nun knapp zehn Jahren Webanwendungen und kenne
    > keine Möglichkeit einem Iframe zu sagen, dass es eine POST-Anfrage schicken
    > soll. Erleuchte uns doch bitte wie das geht.
    >
    > Das Mindeste was du dafür brauchst ist JavaScript - und das kann kein mir
    > bekannter Mail-Client.

    Das Unfug bezog sich darauf, dass man was klicken müsse. Das es dann nicht mehr per Email geht stimmt zwar (solange man nicht eine sehr behinderte Darstellung der Email bevorzugt), allerdings kann ich ja einfach auf meiner Seite per Javascript ein Post an eine lokale IP-Adresse senden. Das geht auch in einem IFrame.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  10. Re: GET vs. PUT

    Autor: Quantium40 30.11.12 - 11:40

    c3rl schrieb:
    --------------------------------------------------------------------------------
    > Achja? Ich entwickle seit nun knapp zehn Jahren Webanwendungen und kenne
    > keine Möglichkeit einem Iframe zu sagen, dass es eine POST-Anfrage schicken
    > soll. Erleuchte uns doch bitte wie das geht.
    > Das Mindeste was du dafür brauchst ist JavaScript - und das kann kein mir
    > bekannter Mail-Client.

    Dann kennst du nicht allzuviele Mail-Clients.
    Selbst in Thunderbird lässt bzw. liess (schwer zu sagen, wie es bei der aktuellen Version ist - aber bei älteren Versionen gings) sich Javascript für Emails aktivieren.
    Apple nutzt für die Darstellung von Mails die selbe Webkit-Engine, die auch Safari benutzt. Outlook bis Version 2000 kannt afaik auch noch Javascript in Emails.

    Und solange Javascript funktioniert und ein IFrame aufrufbar ist, ist es auch kein Problem, Daten per POST zu übersenden. Man brauch im IFrame ja nur ein Formular mit METHOD=POST mit entsprechend vorgefüllten INPUT-Feldern, welches per Onload="document.formularname.submit()" die Daten rausjagt.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  11. Re: GET vs. PUT

    Autor: chrulri 30.11.12 - 11:48

    Ja, weil halt die meisten Email Clients Javascript automatisch ausführen... Selten so gut gelacht.

    Website, klar, aber hier ging es um Emails.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  12. Re: GET vs. PUT

    Autor: chrulri 30.11.12 - 11:50

    > Outlook bis Version 2000 kannt afaik auch noch Javascript in Emails.
    > Outlook bis Version 2000
    > Version 2000
    > 2000

    ..., sag doch gleich, dass alle die noch mit dem IE6 unterwegs, gefährdet sind, sich einen Virus einzufangen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  13. Re: GET vs. PUT

    Autor: leipsfur 30.11.12 - 12:06

    chrulri schrieb:
    --------------------------------------------------------------------------------
    > > Outlook bis Version 2000 kannt afaik auch noch Javascript in Emails.
    > > Outlook bis Version 2000
    > > Version 2000
    > > 2000
    >
    > ..., sag doch gleich, dass alle die noch mit dem IE6 unterwegs, gefährdet
    > sind, sich einen Virus einzufangen.


    Was hat das eine mit dem anderen zu tun?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  14. Re: GET vs. PUT

    Autor: chrulri 30.11.12 - 12:17

    Beides ist seit fast einem Jahrzehnt Out-of-Date.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  15. Re: GET vs. PUT

    Autor: leipsfur 30.11.12 - 13:05

    Meinen IE kann ich kostenlos upgraden, mein Office nicht. Warum sollte der Ottonormal-User unbedingt upgraden wollen?

    Im Übrigen ist auch der IE6 noch nicht ausgestorben... Der wird ja sogar noch von Microsoft offiziell supported

    Benutzer wird von Ihnen ignoriert. Anzeigen

  16. Re: GET vs. PUT

    Autor: Quantium40 30.11.12 - 13:21

    chrulri schrieb:
    --------------------------------------------------------------------------------
    > Beides ist seit fast einem Jahrzehnt Out-of-Date.

    MSOutlook 2000 ist auch nur als Beispiel genannt. Nur, weil es schon einige Jahre auf dem Buckel hat, heißt es noch lange nicht, dass es nicht gerade in Privathaushalten noch vorzufinden wäre.
    Hinzu kommt, dass gerade ältere Office-Versionen oft erst viele Jahre später über den Gebrauchtsoftwaremarkt ihren Weg in die Privathaushalte finden.

    Nur mal so ein typischer Fall überschlagen:
    - MSO 2k SP3 gekauft im Oktober 2003 (MSO2k3 kam erst Ende November 2003 raus).
    - auf FirmenPC für typische 6 Jahre - dann Abverkauf über z.B. eBay
    - Installation auf privat PC -> Ende 2009 oder Anfang 2010

    Das schöne ist natürlich, dass die aktuellen Version von MS-Produkten die Lücke mit dem Javascript in Mails mutmaßlich nicht mehr aufweisen, weil selbst MS lernfähig ist (in sehr engen Grenzen).

    Bei Apple ist dies aber scheinbar noch nicht angekommen und zumindestens bei Mobilgeräten kenn ich auch von anderen Herstellern so einige, die HTML-Mails gnadenlos über den Webbrowser anzeigen. (und einige nutzen dabei auch gerne mal ein vorhandenes WLAN als Netzverbindung)

    Benutzer wird von Ihnen ignoriert. Anzeigen

  17. Re: GET vs. PUT

    Autor: chrulri 30.11.12 - 14:11

    Jaja, "supported"... http://www.ie6countdown.com/

    Benutzer wird von Ihnen ignoriert. Anzeigen

  18. Re: GET vs. PUT

    Autor: leipsfur 30.11.12 - 15:25

    Sogar Microsoft hat halt mittlerweile kappiert, das das ding langsam weggehört... Na und? Trotzdem gibt es noch offiziellen Support dafür, weswegen es sogar noch Firmen gibt, die das ding benutzen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  19. Re: GET vs. PUT

    Autor: chrulri 30.11.12 - 15:39

    Danke, dessen werde ich mir jedesmal bewusst wenn wieder gewisse Kunden damit antanzen.
    Hierzu gibt es auch diverse Artikel, dass gerade Unternehmen den IE6 am Leben erhalten und nicht Privatleute.

    Und da dieser Krüppel zu Windows XP gehört wird ihm auch Support gewährt (bis 2014), auch das stimmt. So what?

    Outlook 2000 hingegen, um das es hier ja ursprünglich mal ging, NICHT: http://support.microsoft.com/lifecycle/?p1=2557

    Benutzer wird von Ihnen ignoriert. Anzeigen

  20. Re: GET vs. PUT

    Autor: thomasg 30.11.12 - 18:56

    chrulri schrieb:
    --------------------------------------------------------------------------------
    > Jaja, "supported"... www.ie6countdown.com


    hmm, leider kann man den ie6 auf dem passenden Download Now Button nicht mehr runterladen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  1. 1
  2. 2

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige

Haben wir etwas übersehen?

E-Mail an news@golem.de


Netzverschlüsselung: Mythen über HTTPS
Netzverschlüsselung
Mythen über HTTPS
  1. Websicherheit Chrome will vor HTTP-Verbindungen warnen
  2. SSLv3 Kaspersky-Software hebelt Schutz vor Poodle-Lücke aus
  3. TLS-Verschlüsselung Poodle kann auch TLS betreffen

ROM-Ecke: Pac Man ROM - Android gibt alles
ROM-Ecke
Pac Man ROM - Android gibt alles
  1. ROM-Ecke Slimkat - viele Einstellungen und viel Schwarz

Jahresrückblick: Was 2014 bei Golem.de los war
Jahresrückblick
Was 2014 bei Golem.de los war
  1. In eigener Sache Golem.de sucht (Junior) Concepter/-in für Onlinewerbung
  2. In eigener Sache Golem.de offline und unplugged
  3. In eigener Sache Golem.de sucht Videoredakteur/-in

  1. International Space Station: Nasa schickt 3D-Druckauftrag ins All
    International Space Station
    Nasa schickt 3D-Druckauftrag ins All

    Die ISS-Crew muss ihre Ersatzteile und fehlendes Werkzeug nun selbst auf der Raumstation drucken. Statt eine Ratsche mit der nächsten Lieferung eines Raumschiffs entgegenzunehmen, schickte die Nasa der Besatzung nur eine Datei für den 3D-Drucker der Raumstation.

  2. Malware in Staples-Kette: Über 100 Filialen für Kreditkartenbetrug manipuliert
    Malware in Staples-Kette
    Über 100 Filialen für Kreditkartenbetrug manipuliert

    Es war einer der größten Einbrüche in einer Firma im Jahr 2014. In der US-Kette Staples wurde Schadsoftware gefunden, die Kreditkartendaten von Kunden im Laden stahl. In einer Stellungnahme versucht Staples nun, den Schaden kleinzureden. Der Prozentsatz betroffener Geschäfte ist hoch.

  3. Day of the Tentacle (1993): Zurück in die Zukunft, Vergangenheit und Gegenwart
    Day of the Tentacle (1993)
    Zurück in die Zukunft, Vergangenheit und Gegenwart

    Golem retro_ Tentakel mit Weltherrschaftsambitionen stehen uns in der fünften Episode von Golem retro_ gegenüber. Das Erstlingswerk von Tim Schafer (Grim Fandango, Broken Age) überzeugte bereits 1993 mit Comiclook und Slapstick.


  1. 12:54

  2. 12:39

  3. 12:04

  4. 16:02

  5. 13:11

  6. 11:50

  7. 11:06

  8. 09:01