nicht angemeldet
MudGuard
MudGuard
Der Martin
MudGuard
molily
MudGuard
Tim Tepaße
molily
MudGuard
Hi,
hab grade festgestellt, daß IE 7 Beta Preview ... nach Hause telefoniert.
POST /urs.asmx?MSURS-Client-Key=PsVpWNc959ek%2btXmJwcZeQ%3d%3d&MSURS-Patented-Lock=maFSGeJOLV4%3d HTTP/1.1
Accept: text/*
Content-Type: text/xml
SOAPAction: "http://Microsoft.STS.STSWeb/Lookup"
User-Agent: Client
Host: urs.microsoft.com
Content-Length: 752
Connection: Keep-Alive
<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soapenc="http://schemas.xmlsoap.org/soap/encoding/">
<soap:Body>
<Lookup xmlns="http://Microsoft.STS.STSWeb/">
<r soapenc:arrayType="xsd:string[1]">
<string>http://canonicalizer.ucsuri.tcs/7200650073003a002f002f00690065006600720061006d0065002e0064006c006c002f0064006f0063007000700067002e00700070006700</string>
</r>
<ID>{CAE33426-F44F-405C-9719-08FC9932048E}</ID>
<v soapenc:arrayType="xsd:string[5]">
<string>1.20051103.20051103.0</string>
<string>6.0.5293.0</string>
<string>7.0.5296.0</string>
<string>5.1.2600.2.0</string>
<string>1031</string>
</v>
</Lookup>
</soap:Body>
</soap:Envelope>
HTTP/1.1 100 Continue
Bei den Strings
<string>6.0.5293.0</string>
<string>7.0.5296.0</string>
<string>5.1.2600.2.0</string>
handelt es sich um die Versionsnummern vom ursprünglich installierten IE6, vom IE 7 und vom WinXP.
Die ID taucht auch in der Registry auf, unter Internet Explorer/Security/Antiphishing
Bei der 1031 hab ich den Verdacht, daß es was mit Office zu tun hat.
Weiß jemand, was die anderen Einträge bedeuten?
cu,
Andreas
Hi,
hab grade festgestellt, daß IE 7 Beta Preview ... nach Hause telefoniert.
hierüber bin ich nicht verwundert, wohl aber enttäuscht. Danke für Deine umfangreiche Analyse.
<string>http://canonicalizer.ucsuri.tcs/7200650073003a002f002f00690065006600720061006d0065002e0064006c006c002f0064006f0063007000700067002e00700070006700</string>
Die Hexwerte rechts repräsentieren ein durch Nullbytes garniertes "res://ieframe.dll/docppg.ppg".
<string>1.20051103.20051103.0</string>
Es ist schwer, im Internet nach einem Datum zu suchen (_und_ etwas Brauchbares zu finden ;-)). Kannst Du prüfen, ob auf Deinem System etwas am 3.11.2005 bzw. kurz danach gepatcht wurde?
Die ID taucht auch in der Registry auf, unter Internet Explorer/Security/Antiphishing
Vielsagend.
Cheatah
Hi,
<string>http://canonicalizer.ucsuri.tcs/7200650073003a002f002f00690065006600720061006d0065002e0064006c006c002f0064006f0063007000700067002e00700070006700</string>
Die Hexwerte rechts repräsentieren ein durch Nullbytes garniertes "res://ieframe.dll/docppg.ppg".
Zusammen mit dem ucs ergeben die 0-Byte-getrennten Character vielleicht UTF-16? Alle Zeichen in dem String sind ja 7-Bit-ASCII, so daß bei UTF-16 das high-Byte 0 wäre ...
<string>1.20051103.20051103.0</string>
Es ist schwer, im Internet nach einem Datum zu suchen (_und_ etwas Brauchbares zu finden ;-)). Kannst Du prüfen, ob auf Deinem System etwas am 3.11.2005 bzw. kurz danach gepatcht wurde?
Der String 20051103 taucht in der Registry auf (der Gesamtstring nicht).
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\68AB67CA7DA71301B7447A0000000000\Patches\8E768F6B290FE5C4D727CA0775BDFE54
Darunter der Name "Installed" mit dem Wert "20051103".
Alle Werte unter diesem Schlüssel:
(Standard) (Wert nicht gesetzt)
Displayname (Leerstring)
Installed 20051103
LUAEnabled 0x00000000
MoreInfoURL (Leerstring)
MSI3 0x00000001
PatchType 0x00000001
State 0x00000001
Uninstallable 0x00000000
HKEY_CLASSES_ROOT\Installer\Products\68AB67CA7DA71301B7447A0000000000
hat unter ProductName den Wert "Adobe Reader 7.0.7 - Deutsch" stehen.
Scheint also das Patch-Datum für den Adobe Reader zu sein.
Die ID taucht auch in der Registry auf, unter Internet Explorer/Security/Antiphishing
Vielsagend.
cu,
Andreas
Hallo,
hierüber bin ich nicht verwundert, wohl aber enttäuscht. Danke für Deine umfangreiche Analyse.
dito.
<string>http://canonicalizer.ucsuri.tcs/7200650073003a002f002f00690065006600720061006d0065002e0064006c006c002f0064006f0063007000700067002e00700070006700</string>
Die Hexwerte rechts repräsentieren ein durch Nullbytes garniertes "res://ieframe.dll/docppg.ppg".
Diese Notation ist das in Win32 übliche String-Speicherformat UTF-16. Microsoft nennt es einfach Unicode, um es vom "ANSI" (richtiger: Windows-1252) früherer Windows-Versionen abzugrenzen.
Schönen Tag noch,
Martin
Hallo Andreas,
Bei der 1031 hab ich den Verdacht, daß es was mit Office zu tun hat.
1031 steht typischerweise für die deutsch Sprachversion, siehe z.B. http://download.microsoft.com/download/b/d/b/bdb3ee53-97cc-42b8-8101-a352814236b9/ReadmeSql2k32asp4.htm#_2461_choosing_the_correct_language_wluf.
Freundliche Grüße
Vinzenz
Hi,
Bei der 1031 hab ich den Verdacht, daß es was mit Office zu tun hat.
1031 steht typischerweise für die deutsch Sprachversion, siehe z.B. http://download.microsoft.com/download/b/d/b/bdb3ee53-97cc-42b8-8101-a352814236b9/ReadmeSql2k32asp4.htm#_2461_choosing_the_correct_language_wluf.
Ah, klingt logisch.
Der Zusammenhang mit Office kam bei mir daher, daß ich da früher mal was in der Outlook-Startseite gebastelt hatte - und die war eben in einem Verzeichnis namens 1031 (war zufällig auch ein deutsches Outlook).
cu,
Andreas
Hallo,
HTTP/1.1 200 OK
Date: Wed, 08 Mar 2006 13:24:15 GMT
Server: Microsoft-IIS/6.0
P3P: CP="BUS CUR CONo FIN IVDo ONL OUR PHY SAMo TELo"
X-Powered-By: ASP.NET
X-AspNet-Version: 1.1.4322
Cache-Control: private, max-age=0
Content-Type: text/xml; charset=utf-8
Content-Length: 984
Und was steht in der Antwort, die hier ein XML-Dokument mit 984 Bytes sein soll?
Weiß jemand, was die anderen Einträge bedeuten?
Frag doch mal bei Microsoft, also dem IE-7-Team nach. Vielleicht erklären bereits das IE-Blog und angeschlossene Quellen dieses Verhalten, ich habe mich da aber nicht durchgearbeitet.
Mathias
Hi,
Und was steht in der Antwort, die hier ein XML-Dokument mit 984 Bytes sein soll?
Die zeigt die IE http header extension nicht an. Und auch nicht der Viewport, da blieb die eigentlich von mir angeforderte Seite sichtbar.
Frag doch mal bei Microsoft, also dem IE-7-Team nach. Vielleicht erklären bereits das IE-Blog und angeschlossene Quellen dieses Verhalten, ich habe mich da aber nicht durchgearbeitet.
Das Phishing-Check-Zeugs hab ich eigentlich abgeschaltet.
Und selbst wenn es das wäre - wozu braucht Microsoft für den Phishing-Check einer Webseite die diversen Versionsnummern meiner Software?
cu,
Andreas
Hallo Andreas,
POST /urs.asmx?MSURS-Client-Key=PsVpWNc959ek%2btXmJwcZeQ%3d%3d&MSURS-Patented-Lock=maFSGeJOLV4%3d HTTP/1.1
Scheint übrigens einmalig zu sein, versuche ich den Request mit Pythons urllib2 zu emulieren erhalte ich dieses Ergebnis:
send: 'POST /urs.asmx?MSURS-Client-Key=PsVpWNc959ek%2btXmJwcZeQ%3d%3d&MSURS-Patented-Lock=maFSGeJOLV4%3d HTTP/1.1 HTTP/1.0\r\nHost: urs.microsoft.com\r\nContent-length: 752\r\nSoapaction: "http://Microsoft.STS.STSWeb/Lookup"\r\nAccept: text/*\r\nUser-agent: Client\r\nConnection: Keep-Alive\r\nContent-type: text/xml\r\n\r\n'
send: '<soap:Envelope....'
reply: 'HTTP/1.1 400 Bad Request\r\n'
header: Content-Type: text/html
header: Date: Wed, 08 Mar 2006 20:00:41 GMT
header: Connection: close
header: Content-Length: 20
Kann aber auch gut sein, dass ich etwas vergessen habe.
Tim
Schau dir mal http://www.securetty.org/download/phishing/phishing.pdf an.
Mathias
Hi,
Schau dir mal http://www.securetty.org/download/phishing/phishing.pdf an.
Sieht so aus, als wäre das in der Tat so ein Phishing-Check.
Frechheit, daß der durchgeführt wird, obwohl der automatische Check abgeschaltet ist.
Und wozu für den Check, ob eine Seite böse ist, die Versionsnummern meiner Software gebraucht werden, ist mir auch nicht klar.
cu,
Andreas