Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Angriff von innen: Router per E-Mail…

GET vs. PUT

Anzeige
  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. GET vs. PUT

    Autor: hartnegg 30.11.12 - 09:10

    Das ist sehr wohl eine Sicherheitslücke im Router.
    Denn GET-Anfragen sollen niemals Änderungen im Server bewirken.
    Dafür sind PUT-Requests da. Die lassen sich so nicht missbrauchen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: GET vs. PUT

    Autor: fletschge 30.11.12 - 10:09

    Was ist eine PUT Anfrage? Meinst du POST?
    Wenn ja, wieso soll das mit POST nicht funktionieren?

    EDIT: Meinst du eine HTTP PUT?



    1 mal bearbeitet, zuletzt am 30.11.12 10:10 durch fletschge.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: GET vs. PUT

    Autor: a user 30.11.12 - 10:24

    gute frage

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: GET vs. PUT

    Autor: chrulri 30.11.12 - 10:26

    Weil du für einen POST nicht einfach nur ein Mail anschauen sondern auch etwas klicken musst.
    Du kannst keinen POST Request via iframe durchführen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: GET vs. PUT

    Autor: leipsfur 30.11.12 - 10:30

    chrulri schrieb:
    --------------------------------------------------------------------------------
    > Weil du für einen POST nicht einfach nur ein Mail anschauen sondern auch
    > etwas klicken musst.
    > Du kannst keinen POST Request via iframe durchführen.


    Unfug...

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: GET vs. PUT

    Autor: frostbitten king 30.11.12 - 10:47

    Put gibts, ist trotzdem falsch die Aussage des Vorposters imho. PUT wird hier nicht verwendet. http://www.w3.org/Protocols/rfc2616/rfc2616-sec9.html#sec9.6.
    Der einzige Anwendungsfall der mir zu PUT/DELETE einfällt sind REST Services.
    Das ganze basiert quasi auf Resources. PUT erstellt eine Neue, oder modifiziert eine Vorhandene und DELETE ist selbsterklärend. Wobei PUT ginge wohl auch in dem Anwendungsfall, bin mir aber nicht sicher.
    Abgesehen davon im WWW findet PUT/DELETE kaum Anwendung (bild mir auch ein gelesen zu haben, dass die meisten Browser PUT/DELETE nicht mal richtig implementiert haben).

    Benutzer wird von Ihnen ignoriert. Anzeigen

  7. Re: GET vs. PUT

    Autor: c3rl 30.11.12 - 10:48

    leipsfur schrieb:
    --------------------------------------------------------------------------------
    > Unfug...

    Achja? Ich entwickle seit nun knapp zehn Jahren Webanwendungen und kenne keine Möglichkeit einem Iframe zu sagen, dass es eine POST-Anfrage schicken soll. Erleuchte uns doch bitte wie das geht.

    Das Mindeste was du dafür brauchst ist JavaScript - und das kann kein mir bekannter Mail-Client.



    1 mal bearbeitet, zuletzt am 30.11.12 10:49 durch c3rl.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  8. Re: GET vs. PUT

    Autor: chrulri 30.11.12 - 11:12

    Dann erzähl mal wie das geht, ich bin gerne bereit neues zu lernen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  9. Re: GET vs. PUT

    Autor: leipsfur 30.11.12 - 11:40

    c3rl schrieb:
    --------------------------------------------------------------------------------
    > leipsfur schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Unfug...
    >
    > Achja? Ich entwickle seit nun knapp zehn Jahren Webanwendungen und kenne
    > keine Möglichkeit einem Iframe zu sagen, dass es eine POST-Anfrage schicken
    > soll. Erleuchte uns doch bitte wie das geht.
    >
    > Das Mindeste was du dafür brauchst ist JavaScript - und das kann kein mir
    > bekannter Mail-Client.

    Das Unfug bezog sich darauf, dass man was klicken müsse. Das es dann nicht mehr per Email geht stimmt zwar (solange man nicht eine sehr behinderte Darstellung der Email bevorzugt), allerdings kann ich ja einfach auf meiner Seite per Javascript ein Post an eine lokale IP-Adresse senden. Das geht auch in einem IFrame.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  10. Re: GET vs. PUT

    Autor: Quantium40 30.11.12 - 11:40

    c3rl schrieb:
    --------------------------------------------------------------------------------
    > Achja? Ich entwickle seit nun knapp zehn Jahren Webanwendungen und kenne
    > keine Möglichkeit einem Iframe zu sagen, dass es eine POST-Anfrage schicken
    > soll. Erleuchte uns doch bitte wie das geht.
    > Das Mindeste was du dafür brauchst ist JavaScript - und das kann kein mir
    > bekannter Mail-Client.

    Dann kennst du nicht allzuviele Mail-Clients.
    Selbst in Thunderbird lässt bzw. liess (schwer zu sagen, wie es bei der aktuellen Version ist - aber bei älteren Versionen gings) sich Javascript für Emails aktivieren.
    Apple nutzt für die Darstellung von Mails die selbe Webkit-Engine, die auch Safari benutzt. Outlook bis Version 2000 kannt afaik auch noch Javascript in Emails.

    Und solange Javascript funktioniert und ein IFrame aufrufbar ist, ist es auch kein Problem, Daten per POST zu übersenden. Man brauch im IFrame ja nur ein Formular mit METHOD=POST mit entsprechend vorgefüllten INPUT-Feldern, welches per Onload="document.formularname.submit()" die Daten rausjagt.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  11. Re: GET vs. PUT

    Autor: chrulri 30.11.12 - 11:48

    Ja, weil halt die meisten Email Clients Javascript automatisch ausführen... Selten so gut gelacht.

    Website, klar, aber hier ging es um Emails.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  12. Re: GET vs. PUT

    Autor: chrulri 30.11.12 - 11:50

    > Outlook bis Version 2000 kannt afaik auch noch Javascript in Emails.
    > Outlook bis Version 2000
    > Version 2000
    > 2000

    ..., sag doch gleich, dass alle die noch mit dem IE6 unterwegs, gefährdet sind, sich einen Virus einzufangen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  13. Re: GET vs. PUT

    Autor: leipsfur 30.11.12 - 12:06

    chrulri schrieb:
    --------------------------------------------------------------------------------
    > > Outlook bis Version 2000 kannt afaik auch noch Javascript in Emails.
    > > Outlook bis Version 2000
    > > Version 2000
    > > 2000
    >
    > ..., sag doch gleich, dass alle die noch mit dem IE6 unterwegs, gefährdet
    > sind, sich einen Virus einzufangen.


    Was hat das eine mit dem anderen zu tun?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  14. Re: GET vs. PUT

    Autor: chrulri 30.11.12 - 12:17

    Beides ist seit fast einem Jahrzehnt Out-of-Date.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  15. Re: GET vs. PUT

    Autor: leipsfur 30.11.12 - 13:05

    Meinen IE kann ich kostenlos upgraden, mein Office nicht. Warum sollte der Ottonormal-User unbedingt upgraden wollen?

    Im Übrigen ist auch der IE6 noch nicht ausgestorben... Der wird ja sogar noch von Microsoft offiziell supported

    Benutzer wird von Ihnen ignoriert. Anzeigen

  16. Re: GET vs. PUT

    Autor: Quantium40 30.11.12 - 13:21

    chrulri schrieb:
    --------------------------------------------------------------------------------
    > Beides ist seit fast einem Jahrzehnt Out-of-Date.

    MSOutlook 2000 ist auch nur als Beispiel genannt. Nur, weil es schon einige Jahre auf dem Buckel hat, heißt es noch lange nicht, dass es nicht gerade in Privathaushalten noch vorzufinden wäre.
    Hinzu kommt, dass gerade ältere Office-Versionen oft erst viele Jahre später über den Gebrauchtsoftwaremarkt ihren Weg in die Privathaushalte finden.

    Nur mal so ein typischer Fall überschlagen:
    - MSO 2k SP3 gekauft im Oktober 2003 (MSO2k3 kam erst Ende November 2003 raus).
    - auf FirmenPC für typische 6 Jahre - dann Abverkauf über z.B. eBay
    - Installation auf privat PC -> Ende 2009 oder Anfang 2010

    Das schöne ist natürlich, dass die aktuellen Version von MS-Produkten die Lücke mit dem Javascript in Mails mutmaßlich nicht mehr aufweisen, weil selbst MS lernfähig ist (in sehr engen Grenzen).

    Bei Apple ist dies aber scheinbar noch nicht angekommen und zumindestens bei Mobilgeräten kenn ich auch von anderen Herstellern so einige, die HTML-Mails gnadenlos über den Webbrowser anzeigen. (und einige nutzen dabei auch gerne mal ein vorhandenes WLAN als Netzverbindung)

    Benutzer wird von Ihnen ignoriert. Anzeigen

  17. Re: GET vs. PUT

    Autor: chrulri 30.11.12 - 14:11

    Jaja, "supported"... http://www.ie6countdown.com/

    Benutzer wird von Ihnen ignoriert. Anzeigen

  18. Re: GET vs. PUT

    Autor: leipsfur 30.11.12 - 15:25

    Sogar Microsoft hat halt mittlerweile kappiert, das das ding langsam weggehört... Na und? Trotzdem gibt es noch offiziellen Support dafür, weswegen es sogar noch Firmen gibt, die das ding benutzen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  19. Re: GET vs. PUT

    Autor: chrulri 30.11.12 - 15:39

    Danke, dessen werde ich mir jedesmal bewusst wenn wieder gewisse Kunden damit antanzen.
    Hierzu gibt es auch diverse Artikel, dass gerade Unternehmen den IE6 am Leben erhalten und nicht Privatleute.

    Und da dieser Krüppel zu Windows XP gehört wird ihm auch Support gewährt (bis 2014), auch das stimmt. So what?

    Outlook 2000 hingegen, um das es hier ja ursprünglich mal ging, NICHT: http://support.microsoft.com/lifecycle/?p1=2557

    Benutzer wird von Ihnen ignoriert. Anzeigen

  20. Re: GET vs. PUT

    Autor: thomasg 30.11.12 - 18:56

    chrulri schrieb:
    --------------------------------------------------------------------------------
    > Jaja, "supported"... www.ie6countdown.com


    hmm, leider kann man den ie6 auf dem passenden Download Now Button nicht mehr runterladen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. T-Systems International GmbH, Leinfelden-Echterdingen
  2. Daimler AG, Leinfelden-Echterdingen
  3. Robert Bosch GmbH, Reutlingen
  4. Media-Saturn E-Business Concepts & Services GmbH, Ingolstadt

Golem pur
  • Golem.de ohne Werbung nutzen
Jetzt Abo abschließen >

Anzeige
Spiele-Angebote
  1. 134,99€
  2. 79,99€
  3. 59,99€ (Vorbesteller-Preisgarantie) - Release 02.08.


Haben wir etwas übersehen?

E-Mail an news@golem.de


Xiaomi Mi Band 2 im Hands on: Fitness-Preisbrecher mit Hack-App
Xiaomi Mi Band 2 im Hands on
Fitness-Preisbrecher mit Hack-App
  1. Mi Notebook Air Xiaomi steigt mit Kampfpreisen ins Notebook-Geschäft ein
  2. Xiaomi Hugo Barra verkündet Premium-Smartphone
  3. Redmi 3S Xiaomis neues Smartphone kostet umgerechnet 95 Euro

Amoklauf in München: De Maizière reanimiert Killerspiel-Debatte
Amoklauf in München
De Maizière reanimiert Killerspiel-Debatte
  1. Killerspiel-Debatte ProSieben Maxx stoppt Übertragungen von Counter-Strike

Schwachstellen aufgedeckt: Der leichtfertige Umgang mit kritischen Infrastrukturen
Schwachstellen aufgedeckt
Der leichtfertige Umgang mit kritischen Infrastrukturen
  1. Keysniffer Millionen kabellose Tastaturen senden Daten im Klartext
  2. Tor Hidden Services Über 100 spionierende Tor-Nodes
  3. Pilotprojekt EU will Open Source sicherer machen

  1. Buyin: Telekom-Manager von chinesischem Unternehmen bestochen
    Buyin
    Telekom-Manager von chinesischem Unternehmen bestochen

    Ein Manager der Telekom hat gegen Bestechungsgeld interne Geheimnisse an das Unternehmen ZTE verraten. Die Staatsanwaltschaft hat Ermittlungen aufgenommen und kritisiert die Telekom, weil die Justiz erst spät informiert wurde.

  2. Routerfreiheit: Was beim Umstieg auf das eigene Kabelmodem zu beachten ist
    Routerfreiheit
    Was beim Umstieg auf das eigene Kabelmodem zu beachten ist

    Nach dem Wegfall des Routerzwangs haben die Kabelnetzbetreiber unterschiedliche Verfahren für die Aktivierung eigener Endgeräte entwickelt. Golem.de erläutert, wie die Nutzer an ihre Zugangsdaten gelangen und welche unangenehmen Überraschungen sie erleben können.

  3. Spionage im Wahlkampf: Russland soll hinter neuem Hack von US-Demokraten stecken
    Spionage im Wahlkampf
    Russland soll hinter neuem Hack von US-Demokraten stecken

    Die US-Demokraten mit Präsidentschaftskandidatin Clinton sind offenbar ein weiteres Mal gehackt worden. Aber auch Russland will Opfer eines Cyberangriffs geworden sein.


  1. 11:21

  2. 09:47

  3. 14:22

  4. 13:36

  5. 13:24

  6. 13:13

  7. 12:38

  8. 09:01