Hab ich grad im Klammforum gelesen
http://www.klamm.de/forum/7121369-post1120.htmlZitat von saitho
Hab ich grad im Klammforum gelesen
http://www.klamm.de/forum/7121369-post1120.html
Hm. da werd ich in meinen vmsr-installer wohl doch einen datei-viewer einbauen müssen. Derzeit sind sämtliche Dateien darin base64 verschlüsselt im installer untergebracht.
Aber ist schon krass. Warum ist es ausm Shop noch nich entfernt? Es ist ein eindeutiger Hack-Versuch. Und das noch ganz öffentlich. o.o
VMS-R Downloads | VMS-R Supportbereich | E-Mail | Facebook: VMS-R | ICQ: 413-432-780 | MSN: vmsr@hotmail.de
AW: Sicherheitslücke VMS1 ( Achtung )
Hallo NeoGriever,
auch das halte ich für sehr gefährlich, da es eine Sicherheit vorgaukeln kann, die nicht gegeben ist.
Konkret: Falls jemand eine manipulierte VMS-R-Distributionsdatei verschickt, könnte sehr einfach eine schadhafte Datei (à la VMS-Sicherheitsdatei aus Skriptkaufhaus) eingebaut sein; beim Betrachten wird jedoch der Inhalt eines anderen base64-Strings angezeigt. Dies lässt sich nur überprüfen, indem man die Codestruktur bis zur tatsächlich angezeigten Quelle zurückverfolgt, was je nach Aufwand des Schädigenden schon recht mühselig werden kann. Beim FWX ist das schon sehr mühselig, was ein Grund ist, weshalb ich meine vor langer Zeit erworbene FWX-Lizenz nicht auf einem Produktivsystem zum Einsatz bringen würde, weil es viel zu viel Aufwand bedeutet, da alles auf Sicherheitslücken zu prüfen (man kann natürlich glauben, das alles sicher ist; irgend jemand wird einem das schon versprechen). Wenn das VMS-R denselben Weg geht, hat sich das für mich auch erledigt, da es keine für mich erkennbar zwingende Notwendigkeit zur base64-Codierung gibt.
Mir ist auch nicht klar, was dagegen spricht, die jetzt als base64-Strings vorliegenden Dateien als zB Textdateien abzulegen (wenn sie nicht als php-Dateien vorliegen sollen) und bei der Installation zu inkludieren.
Sämtliche in den Installationsdateien enthaltenen Prüfverfahren (CRC-Summe etc. pp.) können manipuliert sein (was selbstverständlich auch bei nicht codiertem Code der Fall sein kann). Daher ist lesbarer Quell- resp. php-Code m. E. schon die beste/einfachste Methode für die an der Installation Interessierten, den Code nachzuvollziehen.
VG
Warum nicht einfach den Base64 kodierten String kopieren, in einem der zahlreichen online Base64 Decodern eingeben und den dekodierten String prüfen?
Wer in der Lage ist ein Addon auf Lücken zu prüfen, für den stellt das doch keine Hürde dar.
Ich verstehe das Problem ansich, bin aber überrascht, dass jetzt so viel Kritik daran aufkommt.
Das ist richtig. Es geht aber vor allem NICHT um diejenigen, die das können, sondern um diejenigen, die sich auf das System verlassen. Und mit den codierten Teilen ist für mögliche Angreifer eine weitere Tür sehr weit geöffnet.
VG
Wenn es nur 1 Datei ist, Checksumme erstellen und hier im Forum irgendwo anpinnen. Eine Checksumme kann man mit etlichen Freeware-Programmen auch als unergahrener Nutzer selbst erstellen. Braucht man dann nur noch abzugleichen und weiß ob es Original ist oder etwas "Verändertes" (positiv oder negativ sei mal dahingestellt). Finde es aber auch langsam etwas paranoid, denn da hat sich bisher auch niemand drum gekümmert^^
Computer-Logik pur:
Keyboard not found
Press <F1> to continue...
In der VMS-R-Installationsdatei sind es für die Variable "$files" momentan allein 213 Einträge, von denen 207 codiert sind (6 sind leer). Da gäbe es eine Menge Prüfsummen anzupinnen und zu vergleichen.
Dem ist nichts hinzuzufügen.
Berechtigungen
Zitieren