1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Wordpress: Cracker schleust…

Prüfsummen

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Prüfsummen

    Autor: ignoramus 03.03.07 - 08:09

    Soweit ich sehe, hat nur die deutsche Sektion für die lokalisierte Version eine Prüfsumme veröffentlicht. Auf die sollte meiner Ansicht nach aber auch deutlicher hingewiesen werden.

    Beim Download der englischen Originalversion habe ich keine Prüfsumme finden können.

    Wäre es nicht sinnvoll sowas einzuführen? Vielleicht die Prüfsumme noch auf einem anderen Server abzulegen, damit es etwas schwieriger wird, die auch gleich mitzufälschen?!

  2. Re: Prüfsummen

    Autor: ignoramus 03.03.07 - 08:16

    ignoramus schrieb:
    -------------------------------------------------------
    > Wäre es nicht sinnvoll sowas einzuführen?

    Vielleicht sollte man es gleich richtig machen: OpenPGP-Unterschrift!


  3. Re: Prüfsummen

    Autor: Ronn 03.03.07 - 08:17

    Welcher Normalo Blogger kümmert sich um Prüfsummen?

    Solange es dafür keinen automatismuss gibt in Form von <a href="http://www.meinserver.de/mein_download.zip" crcsum="2153f21737h1237h125h76315h7265" crctype="md5" />

    und Dein Browser, FTP, Downloadserver das im Anschluss auswertet, geht das 99,9999999% der Nutzer am Arsch vorbei. (Leider)

  4. Re: Prüfsummen

    Autor: ignoramus 03.03.07 - 08:28

    Ronn schrieb:
    -------------------------------------------------------
    > Welcher Normalo Blogger kümmert sich um
    > Prüfsummen?

    Hast schon recht. Aber vielleicht könnte sich nach solchen Erfahrungen wie hier daran etwas ändern, wenn man deutlicher auf die Prüfsummen hinweisen würde, und sie nicht irgendwo in der Fußnote unterbringen würde.

    Oder halt wie schon geschrieben gleich eine PGP-Signatur. Das wäre natürlich besser. Zwar ist auch das eine Hürde, das zu prüfen. Aber es muß sich einfach das Bewußtsein druchsetzen, daß man für ein sicheres System auch etwas tun muß. Was natürlich nicht dagegen spricht, die Verfahren benutzerfreundlicher zu machen!

  5. Re: Prüfsummen

    Autor: Subbie 03.03.07 - 08:40

    Prüfsummen schön und gut aber erklär mal einem Otto-Normal-Windows User wie er die einsetzen soll. Ich selbst habe auch keine Ahnung wie ich aus einer Datei eine MD5 Summe heraus bekomme.

    Im Download-Manager GetRight kann man für downloads eine MD5 Summe eingeben die das Programm automatisch vergleicht sobald der download fertig ist.

    Aber wie Ronn schon sagte: solange man das nicht so weit automatisiert, dass man kein spezielles Programm mehr dafür braucht und man i. d. R. auch gar nicht mehr merkt das die MD5 Summe verglichen wird setzt das so gut wie niemand ein, auch wenn du den Hinweis grün-rot blinkend mit Pfeilen markierst. Die meisten nutzer verstehen nicht mal den Sinn dahinter.

  6. Re: Prüfsummen

    Autor: Franz1234 03.03.07 - 08:44

    Auch die Prüfsumme hätte der Kollege locker ändern können :-D

  7. Re: Prüfsummen

    Autor: ignoramus 03.03.07 - 09:04

    Subbie schrieb:
    -------------------------------------------------------
    > Ich selbst habe auch keine Ahnung wie ich
    > aus einer Datei eine MD5 Summe heraus bekomme.

    Das macht ja nichts. Ich vermute mal, daß Du die Notwendigkeit noch nicht gesehen und Dich damit einfach noch nicht beschäftigt hast. Denn das ist gar nicht so schwer. Man muß den Leuten nur eben klar machen, daß man sich ohne die Prüfung - wie hier geschehen - Schadsoftware einhandeln kann. Kann natürlich auch passieren, wenn man die Originalversion bekommt ;-)

    Aber Du hast sicher recht: Man sollte das etwas automatisieren und benutzerfreudlicher gestalten.

    Wobei sich bei zuviel Benutzerfreundlcihkeit auch wieder Fehlerquellen einschleichen werden. Ich bin der Ansicht, daß man von den Usern etwas mehr an Umsicht erwarten sollte. Anders als durch Umdenken der Person vor dem Bildschirm wird man Sicherheitsprobleme nicht in den Griff bekommen...

  8. Re: Prüfsummen

    Autor: ignoramus 03.03.07 - 09:05

    Franz1234 schrieb:
    -------------------------------------------------------
    > Auch die Prüfsumme hätte der Kollege locker ändern
    > können :-D

    Jaja. Darum der Vorschlag, die auf einen anderen Server zu legen. Oder halt digital signieren.

  9. Re: Prüfsummen

    Autor: MD5 03.03.07 - 09:10

    u.a. damit

    http://www.ubercow.com/moosfv/
    Subbie schrieb:
    -------------------------------------------------------
    > Prüfsummen schön und gut aber erklär mal einem
    > Otto-Normal-Windows User wie er die einsetzen
    > soll. Ich selbst habe auch keine Ahnung wie ich
    > aus einer Datei eine MD5 Summe heraus bekomme.
    >
    > Im Download-Manager GetRight kann man für
    > downloads eine MD5 Summe eingeben die das Programm
    > automatisch vergleicht sobald der download fertig
    > ist.
    >
    > Aber wie Ronn schon sagte: solange man das nicht
    > so weit automatisiert, dass man kein spezielles
    > Programm mehr dafür braucht und man i. d. R. auch
    > gar nicht mehr merkt das die MD5 Summe verglichen
    > wird setzt das so gut wie niemand ein, auch wenn
    > du den Hinweis grün-rot blinkend mit Pfeilen
    > markierst. Die meisten nutzer verstehen nicht mal
    > den Sinn dahinter.


  10. Re: Prüfsummen

    Autor: MD5 GOTT 03.03.07 - 10:11

    DAS STIMMT NATÜRLICH. ALLERDINGS KANN EIN CRACKER, DER SICH ZUGANG ZUM SERVER VERSCHAFFT, AUCH DIE PRÜFSUMME ÄNDERN.

    ignoramus schrieb:
    -------------------------------------------------------
    > Soweit ich sehe, hat nur die deutsche Sektion für
    > die lokalisierte Version eine Prüfsumme
    > veröffentlicht. Auf die sollte meiner Ansicht nach
    > aber auch deutlicher hingewiesen werden.
    >
    > Beim Download der englischen Originalversion habe
    > ich keine Prüfsumme finden können.
    >
    > Wäre es nicht sinnvoll sowas einzuführen?
    > Vielleicht die Prüfsumme noch auf einem anderen
    > Server abzulegen, damit es etwas schwieriger wird,
    > die auch gleich mitzufälschen?!


  11. Re: Prüfsummen

    Autor: fabdn 03.03.07 - 10:15

    MD5 schrieb:
    -------------------------------------------------------
    > u.a. damit
    >
    > www.ubercow.com
    > Subbie schrieb:
    > --------------------------------------------------
    > -----
    > > Prüfsummen schön und gut aber erklär mal
    > einem
    > Otto-Normal-Windows User wie er die
    > einsetzen
    > soll. Ich selbst habe auch keine
    > Ahnung wie ich
    > aus einer Datei eine MD5 Summe
    > heraus bekomme.
    >
    > Im Download-Manager
    > GetRight kann man für
    > downloads eine MD5
    > Summe eingeben die das Programm
    > automatisch
    > vergleicht sobald der download fertig
    >
    > ist.
    >
    > Aber wie Ronn schon sagte: solange
    > man das nicht
    > so weit automatisiert, dass man
    > kein spezielles
    > Programm mehr dafür braucht
    > und man i. d. R. auch
    > gar nicht mehr merkt
    > das die MD5 Summe verglichen
    > wird setzt das
    > so gut wie niemand ein, auch wenn
    > du den
    > Hinweis grün-rot blinkend mit Pfeilen
    >
    > markierst. Die meisten nutzer verstehen nicht
    > mal
    > den Sinn dahinter.
    >
    >


    Zum anfertigen der MD5 Checksumme reicht die Eingabe des Befehls "md5sum" , Zusatzprogramme sind nicht erforderlich!

  12. Re: Prüfsummen Nachtrag

    Autor: fabdn 03.03.07 - 10:20

    hab' ich noch vergessen:
    Auf zweitklassigen Betriebssystemen aus Redmond gibts sowas natürlich nicht, da muss man erst was neues kaufen ;)

    [Linux-Trollmodus-aus]

    fabdn schrieb:
    -------------------------------------------------------
    > MD5 schrieb:
    > --------------------------------------------------
    > -----
    > > u.a. damit
    >
    > www.ubercow.com
    >
    > Subbie schrieb:
    >
    > --------------------------------------------------
    >
    > -----
    > > Prüfsummen schön und gut
    > aber erklär mal
    > einem
    >
    > Otto-Normal-Windows User wie er die
    >
    > einsetzen
    > soll. Ich selbst habe auch
    > keine
    > Ahnung wie ich
    > aus einer Datei
    > eine MD5 Summe
    > heraus bekomme.
    >
    > Im
    > Download-Manager
    > GetRight kann man für
    >
    > downloads eine MD5
    > Summe eingeben die das
    > Programm
    > automatisch
    > vergleicht sobald
    > der download fertig
    >
    > ist.
    >
    > Aber
    > wie Ronn schon sagte: solange
    > man das
    > nicht
    > so weit automatisiert, dass man
    >
    > kein spezielles
    > Programm mehr dafür
    > braucht
    > und man i. d. R. auch
    > gar nicht
    > mehr merkt
    > das die MD5 Summe verglichen
    >
    > wird setzt das
    > so gut wie niemand ein, auch
    > wenn
    > du den
    > Hinweis grün-rot blinkend
    > mit Pfeilen
    >
    > markierst. Die meisten
    > nutzer verstehen nicht
    > mal
    > den Sinn
    > dahinter.
    >
    > Zum anfertigen der MD5 Checksumme reicht die
    > Eingabe des Befehls "md5sum" , Zusatzprogramme
    > sind nicht erforderlich!
    >


  13. Re: Prüfsummen

    Autor: ignoramus 03.03.07 - 10:23

    MD5 GOTT schrieb:
    -------------------------------------------------------
    > DAS STIMMT NATÜRLICH. ALLERDINGS KANN EIN CRACKER,
    > DER SICH ZUGANG ZUM SERVER VERSCHAFFT, AUCH DIE
    > PRÜFSUMME ÄNDERN.

    Schrei doch nicht so. ;-) Das Problem haben wir doch schon angesprochen.

  14. Sicherheitskonzept

    Autor: Sir Paul 03.03.07 - 10:30

    Franz1234 schrieb:
    -------------------------------------------------------
    > Auch die Prüfsumme hätte der Kollege locker ändern
    > können :-D

    Aber es waere eine Huerde mehr gewesen.
    Sicherheit besteht immer aus mehreren Schichten.
    Wenn dann noch die Pruefsumme auf einem anderen Server
    abgelegt waere und zudem noch digital signiert ist,
    waere es sehr schwer gewesen das ganze zu manipulieren
    und der vorfall waere viel eher aufgefallen.

    Sir Paul
    http://www.sicherheitszone.net/start

  15. Re: Prüfsummen

    Autor: Hinweis 03.03.07 - 11:02

    Subbie schrieb:
    -------------------------------------------------------
    > Prüfsummen schön und gut aber erklär mal einem
    > Otto-Normal-Windows User wie er die einsetzen
    > soll.

    Etwa mit dem Nero MD5 Verifier http://www.ahead.de/nerodigital/deu/MD5_Verifier.html

    Inklusive einfach verständlicher Anleitung - sollte eigentlich auch ein Otto Nutzer-Windows hinkriegen.

  16. Re: Prüfsummen Nachtrag

    Autor: colafantasprite 03.03.07 - 11:04

    Digitale Signaturen für Windowsuser: http://www.gpg4win.de/
    Anfangs etwas komplex aber eine DAU-Sichere Anleitung!
    Sogar mit einem Bot im Netz mit dem man üben/testen kann.

    Prüfsummen: http://www.jonelo.de/java/jacksum/
    Mit der Explorerintegration: Rechtsklick->Senden an->Jacksum->{den Algorithmus, den man will}

    [IRONIE]Aber ist ja alles extrem schwer![/IRONIE]

    Alles kostenlos (und natürlich selbst mit Prüfsummen versehen ;))

  17. Re: Prüfsummen

    Autor: Subbie 03.03.07 - 11:48

    tja, shift happens :)

  18. Re: Prüfsummen

    Autor: Subbie 03.03.07 - 12:21

    Stimmt, ich habe micht noch nicht sonderlich viel damit beschäftigt und "schwer" ist es ja auch nicht zu verstehen.

    In sachen Benutzerfreundlichkeit muss in Windows etwas getan werden. Es müsste ein in Windows integriertes Programm geben das mal eben ne MD5 berechnen kann. Dann sollten die Browser und andere Programme dieses Programm automatisch nutzen und die MD5 Summe immer an gleicher stelle bzw. an einem von z. B. der Website bestimmten Ort liegen.

    Die größte Hürde wird aber der Nutzer bleiben, grade in der Windows Welt. Die Nutzer werden mit so vielen Meldungen, grade bei Vista durch das UAC, "bombardiert", dass deren Inhalt doch schon lange nicht mehr zur Kenntniss genommen wird. Es wird immer die Schaltfläche gedrückt die zum vermeintlich besten Ergebniss führt: "keine blöden Meldungen mehr und/oder funktioniert einfach trotzdem".

    Was bleibt ist das gute alte Problem: Die Nutzer wollen dieses Mistding benutzen und sich nicht über diesen Kram aufhalten. Warum auch? Es funktioniert im Fall von MD5 Summen doch sowiso meistens auch ohne. Auch wenn der Sachverhalt sehr einfach zu verstehen ist, ein Nutzer der sich nicht damit beschäftigen will wird es ignorieren, ausser man zwingt ihn dazu. Das wiederum werden sich die Leute aber höchstens am Arbeitsplatz gefallen lassen aber nicht zu Hause. Die Notwendigkeit sehen die meisten Leute nicht.

    Solange man Sicherheit nicht auf einfachem Wege bekommen kann wird sich daran auch nicht viel ändern, leider.

  19. Re: Prüfsummen

    Autor: syn/ack 03.03.07 - 13:18

    Mit md5 könnte man das leicht als Plugin realisieren, bzw. fest in WP einbauen. Die letzte Version checkt die nächste, packt diese aus und startet das Updatescript. Gibt es einen guten Grund, warum man kein "mini-apt" für php schreiben kann?

    Ronn schrieb:
    -------------------------------------------------------
    > Welcher Normalo Blogger kümmert sich um
    > Prüfsummen?
    >
    > Solange es dafür keinen automatismuss gibt in Form
    > von <a
    > href="http://www.meinserver.de/mein_download.zip"
    > crcsum="2153f21737h1237h125h76315h7265"
    > crctype="md5" />
    >
    > und Dein Browser, FTP, Downloadserver das im
    > Anschluss auswertet, geht das 99,9999999% der
    > Nutzer am Arsch vorbei. (Leider)


  20. Re: Prüfsummen

    Autor: syn/ack 03.03.07 - 13:21

    MD5 GOTT schrieb:
    -------------------------------------------------------
    > DAS STIMMT NATÜRLICH. ALLERDINGS KANN EIN CRACKER,
    > DER SICH ZUGANG ZUM SERVER VERSCHAFFT, AUCH DIE
    > PRÜFSUMME ÄNDERN.

    Deswegen legt man die Prüfsummen auch auf einen anderen, gut gesicherten Server. Ist ein altes Spiel, funktioniert bei den meisten *nix-Distris ganz passabel.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. AWEK GmbH, Hamburg-Hammerbrook
  2. Interhyp Gruppe, München
  3. J. Bauer GmbH & Co. KG, München
  4. BAM Bundesanstalt für Materialforschung und -prüfung, Berlin-Steglitz

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 50,99€
  2. (u. a. Heavy Rain für 8,99€, Beyond: Two Souls für 8,99€, Detroit: Become Human für 24...
  3. (u. a. Persona 4 - Golden Deluxe Edition für 14,99€, Bayonetta für 4,99€, Catherine Classic...
  4. 23,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mario Kart Live im Test: Ein Klempner, der um Konsolen kurvt
Mario Kart Live im Test
Ein Klempner, der um Konsolen kurvt

In Mario Kart Live (Nintendo Switch) fährt ein Klempner durchs Wohnzimmer. Golem.de hat das Spiel mit einem Konsolen-Rennkurs ausprobiert.
Von Peter Steinlechner

  1. Nintendo Entwickler arbeiten offenbar an 4K-Updates für Switch Pro
  2. Nintendo Switch Mario Kart Live schickt Spielzeugauto auf VR-Rennstecke
  3. 8bitdo Controller macht die Nintendo Switch zum Arcade-Kabinett

Energiewende: Wie die Begrünung der Stahlindustrie scheiterte
Energiewende
Wie die Begrünung der Stahlindustrie scheiterte

Vor einem Jahrzehnt suchte die europäische Stahlindustrie nach Technologien, um ihren hohen Kohlendioxid-Ausstoß zu reduzieren, doch umgesetzt wurde fast nichts.
Eine Recherche von Hanno Böck

  1. Wetter Warum die Klimakrise so deprimierend ist

CalyxOS im Test: Ein komfortables Android mit einer Extraportion Privacy
CalyxOS im Test
Ein komfortables Android mit einer Extraportion Privacy

Ein mobiles System, das sich für Einsteiger und Profis gleichermaßen eignet und zudem Privatsphäre und Komfort verbindet? Ja, das geht - und zwar mit CalyxOS.
Ein Test von Moritz Tremmel

  1. Alternatives Android im Test /e/ will Google ersetzen