1. Foren
  2. Kommentare
  3. Internet-Forum
  4. Alle Kommentare zum Artikel
  5. › Server der Apache Software…

Danke der Apachefoundation für die Offenheit

  1. Thema

Neues Thema


  1. Danke der Apachefoundation für die Offenheit

    Autor: dokape 13.04.10 - 17:43

    Also erstmal Danke der Apache-Foundation für die Offenheit, mit der über den Angriff berichtet wird.

    XSS und Brute-Force auf PWDs - Wie kann man sich dagegen schützen?
    Das wird die Frage sein, wie man solche Einbrüche weiterhin erschweren kann.
    Verhindern wird man sie nie können...

    XSS über manipulierten Link: Tja, da müsste wohl dann noch mehr HTML-Code aus den Eingaben herausgefiltert werden - bis es irgendwann unbenutzbar wird :-(

    Bruteforce: Also müssen die Passwörter noch länger werden. Oder gar über Smartcards mit Lesegeräten eine noch höhere Sicherheit? Doch das wird komplexer und birgt wieder neue Lücken.

    Was mich überraschte, war, dass man die PWDs aus dem Cache auslesen konnte. Liegen die da etwa in Klarschrift? -> Dann hätte das noch etwas Verbesserungspotential.

    Zumindest scheint es, dass da jemand am Werk war, der sich mit der Infrastruktur und Linux gut auskennt. Schade, dass er sein Potential so vergeudet, anstatt es aktiv in die Community einzubringen.

    Aber vielleicht waren das die bösen Chinesen, Russen, Israelis oder Redmonter. ;-)



    2 mal bearbeitet, zuletzt am 13.04.10 17:44 durch dokape.

  2. Re: Danke der Apachefoundation für die Offenheit

    Autor: Tantalus 13.04.10 - 18:04

    dokape schrieb:
    --------------------------------------------------------------------------------
    > Bruteforce: Also müssen die Passwörter noch länger werden. Oder gar über
    > Smartcards mit Lesegeräten eine noch höhere Sicherheit? Doch das wird
    > komplexer und birgt wieder neue Lücken.

    Gegen Bruteforce ist noch kein wirklich erfolgreiches Kraut gewachsen. Ausser lange/komplexe Passwörter.

    > Was mich überraschte, war, dass man die PWDs aus dem Cache auslesen konnte.
    > Liegen die da etwa in Klarschrift? -> Dann hätte das noch etwas
    > Verbesserungspotential.

    Laut der Originalmeldung nicht:
    > If you are a user of the Apache hosted JIRA, Bugzilla, or Confluence, a
    > hashed copy of your password has been compromised.

    > JIRA and Confluence both use a SHA-512 hash, but without a random salt. We
    > believe the risk to simple passwords based on dictionary words is quite
    > high, and most users should rotate their passwords.

    Hier haben die zwar "nur" die gehashten Passwörter, könnten aber über einen Wörterbuchangriff einfache Passwöter dennoch herausfinden.
    Ander sieht es bei JIRA aus:

    > In addition, if you logged into the Apache JIRA instance between April 6th
    > and April 9th, you should consider the password as compromised, because the
    > attackers changed the login form to log them.

    > Aber vielleicht waren das die bösen Chinesen, Russen, Israelis oder
    > Redmonter. ;-)

    Die bösen Iraner und die Apple-Fanboys nicht zu vergessen. ;-)

    Gruß
    Tantalus

    ___________________________

    Man sollte sich die Ruhe und Nervenstärke eines Stuhles zulegen. Der muss auch mit jedem Arsch klarkommen.

  3. Re: Danke der Apachefoundation für die Offenheit

    Autor: dokape 13.04.10 - 18:13

    Ah, da wurde wohl nicht alles übersetzt.

    Bin ich froh, dass ich im Normalfalle recht sichere Passwörter verwende, die man nur in ausländischen Wörterbüchern findet ;-)

  4. Re: Danke der Apachefoundation für die Offenheit

    Autor: Krille 13.04.10 - 18:16

    dokape schrieb:
    > Bin ich froh, dass ich im Normalfalle recht
    > sichere Passwörter verwende,
    > die man nur in ausländischen Wörterbüchern findet ;-)

    Irgendwo ist jedes Ausland Inland.

    Krille

  5. Re: Danke der Apachefoundation für die Offenheit

    Autor: nominis46 13.04.10 - 18:19

    Tantalus schrieb:
    --------------------------------------------------------------------------------
    > dokape schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Bruteforce: Also müssen die Passwörter noch länger werden. Oder gar über
    > > Smartcards mit Lesegeräten eine noch höhere Sicherheit? Doch das wird
    > > komplexer und birgt wieder neue Lücken.
    >
    > Gegen Bruteforce ist noch kein wirklich erfolgreiches Kraut gewachsen.
    > Ausser lange/komplexe Passwörter.

    und wie wärs mit 5x pw failed...=bann inkl. zeitlicher kto.-sperrung?
    Wollt ihr mir weiß machen das dass M$ besser kann als der rest?

  6. Re: Danke der Apachefoundation für die Offenheit

    Autor: wopot 13.04.10 - 18:33

    lol
    wenn du den hash wert hast
    und weiss wie dieser gebildet wird
    mit oder ohne salz
    hast du so gut wie gewonnen.
    jetzt brauchst du nur zeit(viel zeit ich weiss=)

    das die psw auf den server nach der änderung gehen wird wohl kaum jemadn versuchen.

    nur die querverweise auf anderen system wo dieser user angemeldet sein kann.
    sollte er dort sein psw auch ändern.

  7. Re: Danke der Apachefoundation für die Offenheit

    Autor: Cc.home 13.04.10 - 21:14

    nominis46 schrieb:
    --------------------------------------------------------------------------------
    >
    > und wie wärs mit 5x pw failed...=bann inkl. zeitlicher kto.-sperrung?
    > Wollt ihr mir weiß machen das dass M$ besser kann als der rest?


    Großes Problem an der Sache:
    Wenn ich das z.B. an einem E-Mail Account einrichte, sieht der Besitzer bald dumm aus der Wäsche. Denn, wenn ich bei einer Sperre von 10 Minuten alle 10 Minuten 5 falsche Passwörter eingebe, sperre ich den Besitzer effektiv von seinem Account aus.
    Fast genauso schlimm wie eine DDoS attacke, zumindest für den betroffenen Besitzer, denn er kann mit dem Account nichts mehr Anfangen.

  8. Re: Danke der Apachefoundation für die Offenheit

    Autor: unnu 13.04.10 - 22:15

    Tantalus schrieb:
    --------------------------------------------------------------------------------
    > dokape schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Bruteforce: Also müssen die Passwörter noch länger werden. Oder gar über
    > > Smartcards mit Lesegeräten eine noch höhere Sicherheit? Doch das wird
    > > komplexer und birgt wieder neue Lücken.
    >
    > Gegen Bruteforce ist noch kein wirklich erfolgreiches Kraut gewachsen.
    > Ausser lange/komplexe Passwörter.

    Hmmm ... doch, denn hängt ein 'Automat' am anderen Ende der Leitung verhält sich der anders als ein Mensch. Unter anderem tippt keine 'Tippse' so schnell.

    Auf 'seltsames Verhalten' zu prüfen wird auch schon gemacht, aber natürlich ist das ein Aufwand der gerechtfertigt sein muss.

    > > Was mich überraschte, war, dass man die PWDs aus dem Cache auslesen
    > konnte.
    > > Liegen die da etwa in Klarschrift? -> Dann hätte das noch etwas
    > > Verbesserungspotential.

    Was heisst 'Klarschrift'? Normalerweise ist das ein Hash und verschlüsselt muss auch ein ein Schlüssel übergeben werden. Statt 'Password' eine 'Passphrase' macht die Sache aber schon mal schwerer und Fremdsprachen gibt es ja auch. Bei einem Server in den US of A sich aber auf Englisch (oder dem was die Amis darunter verstehen ... egal) zu beschränken ist wohl eine gute Wahl.

    > Laut der Originalmeldung nicht:
    > > If you are a user of the Apache hosted JIRA, Bugzilla, or Confluence, a
    > > hashed copy of your password has been compromised.
    >
    > > JIRA and Confluence both use a SHA-512 hash, but without a random salt.

    'without a random salt' ist Booh-Booh.

    (...)

    > Die bösen Iraner und die Apple-Fanboys nicht zu vergessen. ;-)

    Der letzte Mohikaner war's, die Schweinebacke.

  9. Re: Danke der Apachefoundation für die Offenheit

    Autor: SourceR 15.04.10 - 22:40

    Cc.home schrieb:
    --------------------------------------------------------------------------------
    > nominis46 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > >
    > > und wie wärs mit 5x pw failed...=bann inkl. zeitlicher kto.-sperrung?
    > > Wollt ihr mir weiß machen das dass M$ besser kann als der rest?
    >
    > Großes Problem an der Sache:
    > Wenn ich das z.B. an einem E-Mail Account einrichte, sieht der Besitzer
    > bald dumm aus der Wäsche. Denn, wenn ich bei einer Sperre von 10 Minuten
    > alle 10 Minuten 5 falsche Passwörter eingebe, sperre ich den Besitzer
    > effektiv von seinem Account aus.
    > Fast genauso schlimm wie eine DDoS attacke, zumindest für den betroffenen
    > Besitzer, denn er kann mit dem Account nichts mehr Anfangen.


    Ich denke, das ist nicht all zu schlimm, ein Brute-Force dauert eine ganze weile, wenn der Benutzer einen Browser mit Logindaten-Speicherung hat, wird dieser sich wohl früher oder später beim Admin beschweren (und bei einer gut besuchten Seite wird es wohl den ein oder anderen geben, der das genau so sieht)
    Wenn der Admin jetzt in seine Log-Daten schaut, wird er wohl ned schlecht staunen und sofort den Server vom Netz nehmen bzw. Dienst deaktivieren noch bevor der Angreifer ernten kann.

    Meine eigenen Serverprogramme schreiben mir im ersten Step eine SMS, wenn zu viele fehlgeschlagene Logins in einer bestimmten Zeitspanne erfolgen,
    im 2. Schaltet sich das WebLogin ab, Alle Sessions werden gekillt (Kunden werden auf einen Möglichen Angriff hingewiesen) und erst wenn ich eingreife, wird das Login wieder freigeben (falls ich mal am schlafen bin).

    SSH oder SFTP über Internet auf einem Produktiv-System ist auch keine so gute Idee gewesen, da sollten sich die Spezis aber auch schon Gedanken drüber gemacht haben.

    MfG

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Datenarchitektin / Datenarchitekt in der Anwendungsentwicklung (m/w/d)
    Bundesamt für Familie und zivilgesellschaftliche Aufgaben, Köln
  2. Embedded Softwareentwickler C++ (m/w/d)
    CLAAS E-Systems GmbH, Dissen am Teutoburger Wald
  3. Netzwerkadministrator:in IT- und Netzwerksicherheit (m/w/d)
    Helmholtz-Zentrum Potsdam Deutsches GeoForschungsZentrum GFZ, Potsdam
  4. Senior Softwareentwickler C/C++ (m/w/d) (Scrum Master)
    pro-beam GmbH & Co. KGaA, Gilching (bei München),

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


  1. Raumfahrt: Aufbruch zu Proxima Centauri zur Jahrhundertmitte
    Raumfahrt
    Aufbruch zu Proxima Centauri zur Jahrhundertmitte

    Mit einem Schwarm von kleinen Raumsonden möchte ein Entwicklerteam zu unserem Nachbarstern Proxima Centauri aufbrechen. Die Reise dorthin soll für die Nasa nicht mal ein Vierteljahrhundert dauern.

  2. Selbstverpflichtung beim Tracking: So will die EU die Cookiebanner-Flut eindämmen
    Selbstverpflichtung beim Tracking
    So will die EU die Cookiebanner-Flut eindämmen

    Da es immer noch keine E-Privacy-Verordnung gibt, sollen Anbieter freiwillig die Nutzerpräferenzen beim Tracking respektieren. Bald sollen die Vorgaben feststehen.

  3. Dune 1984: Autor findet David Lynchs Skript zum zweiten Teil von Dune
    Dune 1984
    Autor findet David Lynchs Skript zum zweiten Teil von Dune

    Der zweite Teil des 1984 erschienenen Sci-Fi-Epos Dune wurde nie Realität. Ein Skript gibt Einblicke, wann und wo der Film gespielt hätte.


  1. 12:09

  2. 12:00

  3. 11:49

  4. 11:35

  5. 11:23

  6. 11:10

  7. 10:27

  8. 10:11