1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Spamwelle: Hack mit Happy End

Buffer Entwickler sind Skriptkiddies

  1. Thema

Neues Thema Ansicht wechseln


  1. Buffer Entwickler sind Skriptkiddies

    Autor: GITNE 02.11.13 - 00:49

    RFC 6749 Abschnitt 10.3 sowie RFC 6750 Abschnitt 5.2 sagen eindeutig, ja beschwören sogar zu die Implementatoren Tokens durch TLS und andere Verfahren vertraulich zu halten.

    Unverschlüsselte Tokens, LOL!!!! :D Und da soll man den Machern von Buffer noch vertrauen? Lächerlich! Das entblößt doch nur ihre Unfähigkeit, Schludrigkeit oder ihr Unwissen.

    @Golem
    Es ist zwar gut, wenn man Berichte über Sicherheitsprobleme lesen kann, damit man aus ihnen etwas lernen kann, aber dennoch sollten sie auch kritisch und mit mehr Sachverstand verfasset werden. Es geht nämlich sehr wohl um die Qualität der Sicherheitslücke. Was nützt es, wenn die Sicherheitslücke vom Betreiber schnell geschlossen wurde, sie aber in erster Linie durch die eigene Unfähigkeit des Betreibers verursacht wurde? Offensichtlich sind bei Buffer Stümper am Werk. Es is eine Qualität eine Sicherheitslücke zu entdecken, die aufgrund äußerst ungewöhnlicher Konstellationen von Zuständen und Laufzeit entstanden ist, eine andere — weitaus schlimmere — die aufgrund von Unwissenheit oder Unfähigkeit entstanden ist. In diesem Fall kann leider nur das Letzte angenommen werden.

  2. Re: Buffer Entwickler sind Skriptkiddies

    Autor: ArvidKahl 02.11.13 - 01:05

    Der Hack passierte, weil bei ihrem Datenbankanbieter hinterlegte Keys oeffentlich wurden. Die Unfaehigkeit ist maximal daran erkennbar, dass die Buffer-Spezialisten die gleichen Keys fuer mehrere Dienste verwendet haben.

  3. Re: Buffer Entwickler sind Skriptkiddies

    Autor: Filius 02.11.13 - 12:55

    GITNE schrieb:
    --------------------------------------------------------------------------------
    > RFC 6749 Abschnitt 10.3 sowie RFC 6750 Abschnitt 5.2 sagen eindeutig, ja
    > beschwören sogar zu die Implementatoren Tokens durch TLS und andere
    > Verfahren vertraulich zu halten.

    Was bringt dir TLS (_Transport_ Layer Security) wenn die Token direkt von der Datenbank abgegriffen werden?

    > Unverschlüsselte Tokens, LOL!!!! :D Und da soll man den Machern von Buffer
    > noch vertrauen? Lächerlich! Das entblößt doch nur ihre Unfähigkeit,
    > Schludrigkeit oder ihr Unwissen.

    Eine große Klappe hast du ja einmal. Bei der Kompetenz habe ich dann doch Zweifel.

  4. Re: Buffer Entwickler sind Skriptkiddies

    Autor: GITNE 02.11.13 - 14:55

    Filius schrieb:
    --------------------------------------------------------------------------------
    > GITNE schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > RFC 6749 Abschnitt 10.3 sowie RFC 6750 Abschnitt 5.2 sagen eindeutig, ja
    > > beschwören sogar zu die Implementatoren Tokens durch TLS und andere
    > > Verfahren vertraulich zu halten.
    >
    > Was bringt dir TLS (_Transport_ Layer Security) wenn die Token direkt von
    > der Datenbank abgegriffen werden?

    Wie bereits erwähnt: Wer lesen kann ist klar im Vorteil. ;) Anscheinend bist auch Du nur bis TLS gekommen, statt auch meinen zweiten Teilsatz zu lesen. Hättest Du es getan, hättest Du diesen unqualifizierten Kommentar nicht abgeben.

    > > Unverschlüsselte Tokens, LOL!!!! :D Und da soll man den Machern von
    > Buffer
    > > noch vertrauen? Lächerlich! Das entblößt doch nur ihre Unfähigkeit,
    > > Schludrigkeit oder ihr Unwissen.
    >
    > Eine große Klappe hast du ja einmal. Bei der Kompetenz habe ich dann doch
    > Zweifel.

    Man braucht nur 1 und 1 zusammenzuzählen, um zu verstehen was die Ursache der Sicherheitslücke war. Und, nachdem man das getan hat, kann man nur den Kopf schütteln oder lachen.

  5. Re: Buffer Entwickler sind Skriptkiddies

    Autor: GITNE 02.11.13 - 15:06

    ArvidKahl schrieb:
    --------------------------------------------------------------------------------
    > Der Hack passierte, weil bei ihrem Datenbankanbieter hinterlegte Keys
    > oeffentlich wurden.

    Auch dann ist es nicht wirklich entschuldbar. Anscheinend haben die Buffer Entwickler noch nie etwas von verschlüsselten BLOBs in Datenbanken gehört.
    Aber auch da kann man sich ein Bein stellen. Was habe ich da nicht schon gesehen, z.B. verschlüsselte BLOBs in der DB aber vom DB-Server entschlüsselt und per Klartext an den Client versendet... Das ist zum Haare raufen.

    > Die Unfaehigkeit ist maximal daran erkennbar, dass die Buffer-Spezialisten die
    > gleichen Keys fuer mehrere Dienste verwendet haben.

    Das wissen wir nicht bzw. kann man aus dem Artikel nicht erkennen.

  6. Re: Buffer Entwickler sind Skriptkiddies

    Autor: ArvidKahl 02.11.13 - 19:45

    GITNE schrieb:
    > Auch dann ist es nicht wirklich entschuldbar. Anscheinend haben die Buffer
    > Entwickler noch nie etwas von verschlüsselten BLOBs in Datenbanken gehört.
    > Aber auch da kann man sich ein Bein stellen. Was habe ich da nicht schon
    > gesehen, z.B. verschlüsselte BLOBs in der DB aber vom DB-Server
    > entschlüsselt und per Klartext an den Client versendet... Das ist zum Haare
    > raufen.

    Haha, das ist schon grenzdebil. Oder gleich das Schluesselpaar mit in die Datenbank legen. Alles architektonisch sehr fragwuerdig. An dieser Stelle fragt man sich gerne, ob die Jungs denn keine Sicherheitskonzepte haben, und man merkt, dass die Startup-Szene da chronisch risikofreudig ist. Erst wird ein rasant wachstumsfaehiges Produkt gebaut, Security kommt erst hinterher oder wenn's zu spaet ist, weil die Investoren auf Nutzerzahlen schauen, nicht auf verhinderte Hacks. Ist meiner Erfahrung nach eine systemische Sache.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Dataport, Altenholz bei Kiel, Bremen, Hamburg, Magdeburg
  2. Covestro Deutschland AG, Leverkusen
  3. PSI Software AG, Essen
  4. Allianz Deutschland AG, Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 555,55€ (zzgl. Versandkosten)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Elektroschrott: Kauft keine kleinen Konsolen!
Elektroschrott
Kauft keine kleinen Konsolen!

Ich bin ein Fan von Retro. Und ein Fan von Games. Und ich habe den kleinen Plastikschachteln mit ihrer schlechten Umweltbilanz wirklich eine Chance gegeben. Aber es hilft alles nichts.
Ein IMHO von Martin Wolf

  1. IMHO Porsche prescht beim Preis übers Ziel hinaus
  2. Gaming Konsolenkrieg statt Spielestreaming

Mobile-Games-Auslese: Märchen-Diablo für Mobile-Geräte
Mobile-Games-Auslese
Märchen-Diablo für Mobile-Geräte

"Einarmiger Schmied" als Klasse? Diablo bietet das nicht - das wunderschöne Yaga schon. Auch sonst finden sich in der neuen Mobile-Games-Auslese viele spannende und originelle Perlen.
Von Rainer Sigl

  1. Mobile-Games-Auslese Fantasypixel und Verkehrsplanung für unterwegs
  2. Mobile-Games-Auslese Superheld und Schlapphutträger zu Besuch im Smartphone
  3. Mobile-Games-Auslese Verdrehte Räume und verrückte Zombies für unterwegs

Radeon RX 5500 OEM (4GB) im Test: AMDs beste 200-Euro-Karte seit Jahren
Radeon RX 5500 OEM (4GB) im Test
AMDs beste 200-Euro-Karte seit Jahren

Mit der Radeon RX 5500 hat AMD endlich wieder eine sparsame und moderne Mittelklasse-Grafikkarte im Angebot. Verglichen mit Nvidias Geforce GTX 1650 Super reicht es zum Patt - aber nicht in allen Bereichen.
Ein Test von Marc Sauter

  1. Workstation-Grafikkarte AMDs Radeon Pro W5700 hat USB-C-Anschluss
  2. Navi-Grafikeinheit Apple bekommt Vollausbau und AMD bringt RX 5300M
  3. Navi-14-Grafikkarte AMD stellt Radeon RX 5500 vor

  1. Motorola Razr im Hands on: Klappen wie 2004
    Motorola Razr im Hands on
    Klappen wie 2004

    Mit dem Razr hat Motorola seinen Klassiker aus dem Jahr 2004 wiederaufgelegt - aber mit faltbarem Display. Im ersten Test gefällt uns das Gerät sowohl klein zusammengeklappt als auch ausgeklappt als vollwertiges Smartphone. Wie beim Galaxy Fold ist für uns allerdings die größte Frage die nach der Haltbarkeit.

  2. Smartphone: Oppo zeigt verbesserte Version seiner lochlosen Frontkamera
    Smartphone
    Oppo zeigt verbesserte Version seiner lochlosen Frontkamera

    Der chinesische Hersteller Oppo hat eine neue Version einer Frontkamera für Smartphones vorgestellt, die ohne Öffnung direkt unter dem Display eingebaut ist. Die neue Version der Kamera scheint kleiner zu sein, auch die Bildqualität ist offenbar besser.

  3. 3D-gedruckte Siedlung: Gemeinnütziges Projekt druckt Häuser in Mexiko
    3D-gedruckte Siedlung
    Gemeinnütziges Projekt druckt Häuser in Mexiko

    Die Organisation New Story hat mit dem 3D-Drucken von Häusern im Süden Mexikos begonnen. In die Siedlung sollen arme Landarbeiter einziehen.


  1. 12:05

  2. 11:57

  3. 11:42

  4. 11:30

  5. 11:17

  6. 11:05

  7. 10:49

  8. 10:34