1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Cloud-Speicher: Nextcloud…

Missbrauch

  1. Thema

Neues Thema


  1. Missbrauch

    Autor: MatthiasRedies 07.03.17 - 12:01

    Man muss bei diesen Scan nicht nachweisen, dass man diese Cloud administiert oder gar benutzt. Ich konnte z.B. meinen Uni-Server scannen:

    https://scan.nextcloud.com/results/ddb3b695-a418-4b67-9f78-2efacbc3b9f1

  2. Re: Missbrauch

    Autor: devzero 07.03.17 - 12:03

    das scheint so zu gehören, bei ssllabs muss man auch nichts nachweisen um fremde Webserver zu scannen.

  3. Re: Missbrauch

    Autor: Anonymer Nutzer 07.03.17 - 12:08

    Und weil Du soviel Wert auf Security legst, hast auch gleich die NextCloud-URL Deines Uni-Servers öffentlich gemacht :)

  4. Re: Missbrauch

    Autor: Anonymer Nutzer 07.03.17 - 12:16

    Warum sollte die URL nicht öffentlich sein?

  5. Re: Missbrauch

    Autor: Anonymer Nutzer 07.03.17 - 13:41

    Ein Scan oder besser Angriff bleibt ein Scan / Angriff. Ob da die Universität Michigan daherkommt und nur zum Wohle Aller ganze Netze scannt, ein Nextcloud Scanner oder irgendjemand - Angriff bleibt Angriff

  6. Re: Missbrauch

    Autor: huuu 07.03.17 - 13:42

    https://www.sciebo.de/de/login/index.html wie schlimm :0

  7. Re: Missbrauch

    Autor: blubby666 07.03.17 - 13:52

    Sehe das auch kritisch, zumal es im Admin Panel ja bereits eine möglichkeit zum scannen gibt, wieso also nochmal einen öffentlichen scanner zur verfügung stellen?
    Man könnte sich so einen scanner zwar durch lesen der changelogs und diverser bekannter probleme auch selber bauen, aber jeder mehraufwand für einen angreifer ist eben besser als kein aufwand.

  8. Re: Missbrauch

    Autor: Ninos 07.03.17 - 14:05

    Um die Leute zu motivieren, die Software zu aktualisieren. Abgesehen davon sind diese Scanner nur bei neueren NextCloud-Versionen vorhanden und auch nicht in diesem intensiven Ausmaß.
    Dank dem Online-Scanner konnte ich z.B. meine Hochschule kontaktieren und auf den Scanner bzw. deren Note verweisen (ohne einen fetten Roman zu verfassen) ;)

  9. Re: Missbrauch

    Autor: blubby666 07.03.17 - 14:09

    Und potentielle Angreifer können nun ohne größeren aufwand eine liste von nextcloud installationen abrattern und nach sicherheitsproblemen suchen. Man soll sicherheitslücken nicht geheimhalten logisch, aber angreifern eine aktive möglichkeit zu geben nach sicherheitslücken zu suchen ist imho nicht der richtige weg. Wenn sollen sie schon selber den aufwand treiben müssen so einen scanner selbst zu implementieren.

    Wenn admins das feature in ihrer installation ab der neuen version checken können, ist das doch auch ok. Wenn es nur darum geht dass andere einen admin darauf aufmerksam machen, dass die installation veraltet ist, stimmt da was nicht.



    1 mal bearbeitet, zuletzt am 07.03.17 14:10 durch blubby666.

  10. Re: Missbrauch

    Autor: Gunah 07.03.17 - 14:13

    naja, solche Scans kann man sich aber auch easy mittels der Vorhandenen Exploits zusammen bauen.
    Für andere Systeme gibt es dieses auch.
    https://www.magereport.com/

    Daher, finde ich das nicht schlimm.
    Und wie ein Vorredner schrieb, kann man dieses einfach weiterleiten und dann passiert meist schneller etwas. als wenn man vorher nur drauf hingewiesen etc hat.

  11. Re: Missbrauch

    Autor: Ninos 07.03.17 - 14:55

    Security by obscurity hat noch nie geklappt. Von ssllabs gibts z.B. auch Scans für die heartbleed-Lücke. Die Lücken sind eh schon da und bekannt, die badboysInnen nutzen diese bereits aus, nur halt nicht Skriptkiddies. Aber mal ehrlich, wenn Skriptkiddies bereits eine Webseite übernehmen können, dann haben das bereits die schlimmen Jungs x-fach über ihre Listen und Bot-Netzwerke gemacht ;)
    Solche Seiten dienen schlicht für den schnellen Scan oder auch Hinweisen der Betreiber der Webseiten/Server, um den Druck zu erhöhen...

  12. Re: Missbrauch

    Autor: blubby666 07.03.17 - 15:51

    Es redet ja auch keiner davon das hier sicherheitslücken versteckt werden. Angreifern aber aktiv eine möglichkeit zu geben nach sicherheitslücken in ausgewählten systemen zu suchen, ist da nicht besser. Wenn der admin durch sein system darauf hingewiesen wird das es veraltet ist und x y z sicherheitslücken aufweist, dann ist das doch ok, aber wieso noch einen öffentlichen scanner anbieten womit JEDER beliebige fremdsysteme scannen kann?

    Es geht ja nicht darum gar keinen scan anzubieten, nur keinen öffentlichen. Im Admin Panel kann zur not jeder Admin selbst einen solchen scan durchführen. Wenn andere einen Admin darauf hinweisen müssen, dass seine installation veraltet ist, stimmt da was nicht. Imho sollte die Installation selbst dies tun über nervige Emails. Von mir aus kann auch den usern eine warnung angezeigt werden mit sie dem admin auf den keks gehn und er updated. Unauthentifizierten usern das suchen nach sicherheitslücken in fremden installationen zu ermöglichen ist mMn. gefährlicher als gar keinen scanner zu nutzen.

  13. Re: Missbrauch

    Autor: Ninos 07.03.17 - 16:42

    Lasst uns die Portscanner abschaffen..

  14. Re: Missbrauch

    Autor: stk_jj 07.03.17 - 17:19

    einfach wieder schlafen legen. Es geht gar nicht um Sicherheit. Nextcloud hat sich ein Vehikel geschaffen um ownCloud anzupissen und cross-selling zu betreiben.

  15. Re: Missbrauch

    Autor: blubby666 07.03.17 - 18:46

    ach und durch portscanner wird also per se erstmal jede bekannte nextcloud sicherheitslücke bei einer installation dem angreifer bekannt gegeben? Nein. Denn es muss sich erstmal ein geeigneter Bot geschrieben werden der genau auf alle bekannten issues scannt. Dabei muss jedes neue issue nachgebessert werden. Das stellt einen nicht zu vernachlässigenden Aufwand für einen angreifer dar. Natürlich nicht unüberwindbar, aber es stellt eben ein Hindernis dar und darum geht es.

  16. Re: Missbrauch

    Autor: Ninos 07.03.17 - 19:01

    Und mit dem NextCloud-Scan kriegt man gleich eine Anleitung, wie man nun hacken könnte? Wie mit dem Portscanner findet man nur raus, wo etwas offen sein könnte.

  17. Re: Missbrauch

    Autor: Ninos 07.03.17 - 19:02

    Ist anscheinend ziemlich einfach bei ownCloud..

  18. Re: Missbrauch

    Autor: blubby666 07.03.17 - 19:45

    Nein aber man bekommt gleich eine liste möglicher sicherheitslücken die man ausnutzen könnte. Hätte man eine solche liste nicht müsste man selbst Zeit aufwenden um eine solche Liste zu generieren.

  19. Re: Missbrauch

    Autor: Ninos 07.03.17 - 23:41

    Die Schwachstellen sagen nicht viel, wenn man sich damit nicht auskennt. Offene Ports können ggfs. einem, der sich im Bereich Serveradministration auskennt, bereits große Hinweise liefern.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. SAP Business Experte Prozessmanagement (m/w/d)
    CUNOVA GMBH, Osnabrück
  2. IT-Security Administrator (w/m/d)
    CeramTec GmbH, Plochingen
  3. Softwareentwickler*in - Schwerpunkt Steuerung (m/w/d)
    über experteer GmbH, Bad Tölz
  4. Technische*r Projektleiter*in (w/m/d)
    Hensoldt, Ulm

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. ab 29,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de