Verwaiste Domains als Sicherheitsrisiko
Hier ein guter Bericht zum Thema "Verwaiste Domains als Sicherheitsrisiko" inkl. Beispielen und einem interessanten Erfahrungsbericht des Autors. So hat er selbst eine verwaiste Azure Subdomains mit dem kostenlosen Azure-Testaccount registriert und die Webseiten, die die Subdomain noch per Javascript eingebunden hatten, informiert.
https://www.golem.de/news/websicherheit-verwaiste-domains-als-sicherheit ...
https://www.golem.de/news/websicherheit-verwaiste-domains-als-sicherheit ...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 348464
Url: https://administrator.de/knowledge/verwaiste-domains-als-sicherheitsrisiko-348464.html
Ausgedruckt am: 03.04.2025 um 05:04 Uhr
6 Kommentare
Neuester Kommentar
Moin,
Das Ganze lässt sich aber auch ganz schnell wieder unterbinden. Alles was es dafür braucht ist SRI. Sollte man generell bei externen Seiten verwenden unabhängig davon wie vertrauenswürdig sie einem erscheint. Denn wer weiß, wer weiß, vielleicht wird ja mal ein Admins sauer oder es findet doch jemand eine Hintertür. So bleiben wenigstens die eigenen User geschützt.
PS: Dienste wie cdnjs und jsdelivr unterstützen diese Technologien proaktiv und bieten deswegen auch primär versionierte Scripte an.
Gruß
Chris
PS: Ich sehe gerade was SRI angeht, haben wir hier aber auch noch Bedarf ^^
Das Ganze lässt sich aber auch ganz schnell wieder unterbinden. Alles was es dafür braucht ist SRI. Sollte man generell bei externen Seiten verwenden unabhängig davon wie vertrauenswürdig sie einem erscheint. Denn wer weiß, wer weiß, vielleicht wird ja mal ein Admins sauer oder es findet doch jemand eine Hintertür. So bleiben wenigstens die eigenen User geschützt.
PS: Dienste wie cdnjs und jsdelivr unterstützen diese Technologien proaktiv und bieten deswegen auch primär versionierte Scripte an.
Gruß
Chris
PS: Ich sehe gerade was SRI angeht, haben wir hier aber auch noch Bedarf ^^

Hallo,
nicht nur das. Ich möchte nicht wissen, was man da alles an E-Mails bekommt wenn man einen entsprechenden MX aufsetzt.
Gruß,
Jörg
nicht nur das. Ich möchte nicht wissen, was man da alles an E-Mails bekommt wenn man einen entsprechenden MX aufsetzt.
Gruß,
Jörg
Nun es sind nicht nur Domains...
Auch die Sache mit den IP Adressen...
Hab selbst mal erlebt als man einen neuen Server geholt hat und alles eingestellt hat und dauernd Fehler im Mailbereich (Zustellung) gab.
Der Vormieter der IP Adresse hat einige Domains darunter auch von kleinen Firmen auf die IP Adresse geleitet gehabt und dies nach der Serveraufgabe diese nicht geändert.
Hätte man mit unguten Absichten alle Mails annehmen können sowie auch Webseite schalten und als die Firma ausgeben können.
Domaininhaber war ja jemand anders...
Auch die Sache mit den IP Adressen...
Hab selbst mal erlebt als man einen neuen Server geholt hat und alles eingestellt hat und dauernd Fehler im Mailbereich (Zustellung) gab.
Der Vormieter der IP Adresse hat einige Domains darunter auch von kleinen Firmen auf die IP Adresse geleitet gehabt und dies nach der Serveraufgabe diese nicht geändert.
Hätte man mit unguten Absichten alle Mails annehmen können sowie auch Webseite schalten und als die Firma ausgeben können.
Domaininhaber war ja jemand anders...
Das Ganze wir aber nur von ca. 56% der in Deutschland genutzen Browser unterstützt
https://www.browser-statistik.de/
MfG
Moin,
Die einen sagen "nur" die anderen sagen "immerhin". Es tut ja niemandem weh und ist nicht mal so viel Aufwand. Der Support stellt sich dann ganz von alleine ein.
Davon abgesehen komme ich auf 60% (33.9% Chrome + 25.0% FF + 1.1% Opera) laut "https://www.browser-statistik.de/statistiken/" (wo ich nicht weiß, wie vertrauenswürdig es ist, sie sagt zumindest von sich selbst, sie sei nicht repräsentativ :D). Davon abgesehen kommen mit dem nächsten Safari update nochmal 20% dazu.
Siehe: https://caniuse.com/#search=SRI
Also von daher ist es schon erstrebenswert.
Gruß
Chris
Zitat von @runasservice:
Das Ganze wir aber nur von ca. 56% der in Deutschland genutz[t]en Browser unterstützt
Das Ganze wir aber nur von ca. 56% der in Deutschland genutz[t]en Browser unterstützt
Die einen sagen "nur" die anderen sagen "immerhin". Es tut ja niemandem weh und ist nicht mal so viel Aufwand. Der Support stellt sich dann ganz von alleine ein.
Davon abgesehen komme ich auf 60% (33.9% Chrome + 25.0% FF + 1.1% Opera) laut "https://www.browser-statistik.de/statistiken/" (wo ich nicht weiß, wie vertrauenswürdig es ist, sie sagt zumindest von sich selbst, sie sei nicht repräsentativ :D). Davon abgesehen kommen mit dem nächsten Safari update nochmal 20% dazu.
Siehe: https://caniuse.com/#search=SRI
Also von daher ist es schon erstrebenswert.
Gruß
Chris