6
Verwaiste Domains als Sicherheitsrisiko
Hier ein guter Bericht zum Thema "Verwaiste Domains als Sicherheitsrisiko" inkl. Beispielen und einem interessanten Erfahrungsbericht des Autors. So hat er selbst eine verwaiste Azure Subdomains mit dem kostenlosen Azure-Testaccount registriert und die Webseiten, die die Subdomain noch per Javascript eingebunden hatten, informiert.
https://www.golem.de/news/websicherheit-verwaiste-domains-als-sicherheit ...
https://www.golem.de/news/websicherheit-verwaiste-domains-als-sicherheit ...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 348464
Url: https://administrator.de/contentid/348464
Printed on: April 25, 2024 at 00:04 o'clock
6 Comments
Latest comment
Moin,
Das Ganze lässt sich aber auch ganz schnell wieder unterbinden. Alles was es dafür braucht ist SRI. Sollte man generell bei externen Seiten verwenden unabhängig davon wie vertrauenswürdig sie einem erscheint. Denn wer weiß, wer weiß, vielleicht wird ja mal ein Admins sauer oder es findet doch jemand eine Hintertür. So bleiben wenigstens die eigenen User geschützt.
PS: Dienste wie cdnjs und jsdelivr unterstützen diese Technologien proaktiv und bieten deswegen auch primär versionierte Scripte an.
Gruß
Chris
PS: Ich sehe gerade was SRI angeht, haben wir hier aber auch noch Bedarf ^^
Das Ganze lässt sich aber auch ganz schnell wieder unterbinden. Alles was es dafür braucht ist SRI. Sollte man generell bei externen Seiten verwenden unabhängig davon wie vertrauenswürdig sie einem erscheint. Denn wer weiß, wer weiß, vielleicht wird ja mal ein Admins sauer oder es findet doch jemand eine Hintertür. So bleiben wenigstens die eigenen User geschützt.
PS: Dienste wie cdnjs und jsdelivr unterstützen diese Technologien proaktiv und bieten deswegen auch primär versionierte Scripte an.
Gruß
Chris
PS: Ich sehe gerade was SRI angeht, haben wir hier aber auch noch Bedarf ^^
Hallo,
nicht nur das. Ich möchte nicht wissen, was man da alles an E-Mails bekommt wenn man einen entsprechenden MX aufsetzt.
Gruß,
Jörg
nicht nur das. Ich möchte nicht wissen, was man da alles an E-Mails bekommt wenn man einen entsprechenden MX aufsetzt.
Gruß,
Jörg
Zitat von @117471:
Hallo,
nicht nur das. Ich möchte nicht wissen, was man da alles an E-Mails bekommt wenn man einen entsprechenden MX aufsetzt.
Gruß,
Jörg
Hallo,
nicht nur das. Ich möchte nicht wissen, was man da alles an E-Mails bekommt wenn man einen entsprechenden MX aufsetzt.
Gruß,
Jörg
Setze dagegen, willst du nicht
Nun es sind nicht nur Domains...
Auch die Sache mit den IP Adressen...
Hab selbst mal erlebt als man einen neuen Server geholt hat und alles eingestellt hat und dauernd Fehler im Mailbereich (Zustellung) gab.
Der Vormieter der IP Adresse hat einige Domains darunter auch von kleinen Firmen auf die IP Adresse geleitet gehabt und dies nach der Serveraufgabe diese nicht geändert.
Hätte man mit unguten Absichten alle Mails annehmen können sowie auch Webseite schalten und als die Firma ausgeben können.
Domaininhaber war ja jemand anders...
Auch die Sache mit den IP Adressen...
Hab selbst mal erlebt als man einen neuen Server geholt hat und alles eingestellt hat und dauernd Fehler im Mailbereich (Zustellung) gab.
Der Vormieter der IP Adresse hat einige Domains darunter auch von kleinen Firmen auf die IP Adresse geleitet gehabt und dies nach der Serveraufgabe diese nicht geändert.
Hätte man mit unguten Absichten alle Mails annehmen können sowie auch Webseite schalten und als die Firma ausgeben können.
Domaininhaber war ja jemand anders...
Das Ganze wir aber nur von ca. 56% der in Deutschland genutzen Browser unterstützt
https://www.browser-statistik.de/
MfG
Moin,
Die einen sagen "nur" die anderen sagen "immerhin". Es tut ja niemandem weh und ist nicht mal so viel Aufwand. Der Support stellt sich dann ganz von alleine ein.
Davon abgesehen komme ich auf 60% (33.9% Chrome + 25.0% FF + 1.1% Opera) laut "https://www.browser-statistik.de/statistiken/" (wo ich nicht weiß, wie vertrauenswürdig es ist, sie sagt zumindest von sich selbst, sie sei nicht repräsentativ :D). Davon abgesehen kommen mit dem nächsten Safari update nochmal 20% dazu.
Siehe: https://caniuse.com/#search=SRI
Also von daher ist es schon erstrebenswert.
Gruß
Chris
Zitat von @runasservice:
Das Ganze wir aber nur von ca. 56% der in Deutschland genutz[t]en Browser unterstützt
Das Ganze wir aber nur von ca. 56% der in Deutschland genutz[t]en Browser unterstützt
Die einen sagen "nur" die anderen sagen "immerhin". Es tut ja niemandem weh und ist nicht mal so viel Aufwand. Der Support stellt sich dann ganz von alleine ein.
Davon abgesehen komme ich auf 60% (33.9% Chrome + 25.0% FF + 1.1% Opera) laut "https://www.browser-statistik.de/statistiken/" (wo ich nicht weiß, wie vertrauenswürdig es ist, sie sagt zumindest von sich selbst, sie sei nicht repräsentativ :D). Davon abgesehen kommen mit dem nächsten Safari update nochmal 20% dazu.
Siehe: https://caniuse.com/#search=SRI
Also von daher ist es schon erstrebenswert.
Gruß
Chris
