TS: HTTP Sicherheit

Hello,

ich habe gerade für einen Freund nach einer freien Domain gesucht und bin dabei auf eine gestoßen, die merkwürdige Dinge verursacht.

Es wird ein sofortiger Download einer Datei initiiert, im FF unter Linux ohne jegliche Rückfrage. Was die Seite unter Windows veranstalten würde, habe ich (noch) nicht ausprobiert.

Vielleicht kann man das ja auch so herausfinden.

Achtung, micht direkt aufrufen:

bikeharz.de 

Was drin steht, habe ich als Textdatei unter

bitworks.de/security/http-attack/bikeharz.de_20220312.txt abgelegt.

Glück Auf
Tom vom Berg

--
Es gibt nichts Gutes, außer man tut es!
Das Leben selbst ist der Sinn.
  1. Hallo Tom,

    http://bikeharz.de/

    Es wird ein sofortiger Download einer Datei initiiert, im FF unter Linux ohne jegliche Rückfrage.

    dann hast du deinen Browser nicht ordentlich eingestellt. Meiner fragt mich anständig, wohin ich die Datei ygJK+kBY denn speichern möchte,

    Was die Seite unter Windows veranstalten würde, habe ich (noch) nicht ausprobiert.

    Vermutlich genau dasselbe.

    Da wird eine ganz gewöhnliche harmlose HTML-Ressource ausgeliefert. Nur ist sie serverseitig wohl als PHP-Code gekennzeichnet, der Server führt aber kein PHP aus. Deshalb wird die Ressource als application/x-httpd-php ausgeliefert.

    Ein gewöhnlicher Browser kann damit nichts anfangen und fragt, was er damit machen soll.

    Was drin steht, habe ich als Textdatei unter

    bitworks.de/security/http-attack/bikeharz.de_20220312.txt abgelegt.

    Ja, dasselbe bekomme ich auch. Nix HTTP-Attack, völlig harmlos.

    Einen schönen Tag noch
     Martin

    --
    Мир для України.
    1. Hallo Martin,

      Es wird ein sofortiger Download einer Datei initiiert, im FF unter Linux ohne jegliche Rückfrage.

      dann hast du deinen Browser nicht ordentlich eingestellt. Meiner fragt mich anständig, wohin ich die Datei ygJK+kBY denn speichern möchte,

      Ich denke, das meint Tom mit dem sofortigen Download.

      Mich fragt er, wo ich die Datei "Download" speichern möchte. Im Content-Type ist kein filename angegeben, der Name "ygJK+kBYd" dürfte daher vom Firefox oder Palemoon generiert sein.

      Und es ist einfach, wie Du schon sagtest, der unbekannte Ressourcentyp, der zum Speichern statt zum Anzeigen führt.

      Rolf

      --
      sumpsi - posui - obstruxi
      1. Moin,

        Es wird ein sofortiger Download einer Datei initiiert, im FF unter Linux ohne jegliche Rückfrage.

        dann hast du deinen Browser nicht ordentlich eingestellt. Meiner fragt mich anständig, wohin ich die Datei ygJK+kBY denn speichern möchte,

        Ich denke, das meint Tom mit dem sofortigen Download.

        hmm, kann auch sein.

        Mich fragt er, wo ich die Datei "Download" speichern möchte. Im Content-Type ist kein filename angegeben, der Name "ygJK+kBYd" dürfte daher vom Firefox oder Palemoon generiert sein.

        Interessant. wget speichert den Müll als index.html.
        Weiß der Geier, wo dieses Tool die Erleuchtung hernimmt.

        Und es ist einfach, wie Du schon sagtest, der unbekannte Ressourcentyp, der zum Speichern statt zum Anzeigen führt.

        Ein typischer Fall von Bzb (Betreiber zu blöd). Wobei ich mit Betreiber hier ausdrücklich nicht den Besucher, sondern den Inhaber von bikeharz.de meine.

        Einen schönen Tag noch
         Martin

        --
        Мир для України.
  2. Was die Seite unter Windows veranstalten würde, habe ich (noch) nicht ausprobiert.

    Ein kurzer Blick auf das Gebotene zeigt, dass es hier nur „sehr bedingt“ um „Sicherheit“ geht. Immerhin könnte nach ein paar Millionen Abrufen von einem Host aus dessen Festplatte voll sein. (Ein Datenblock und ein Verzeichniseintrag je Abruf.)

    Ansonsten sagt mein Editor, dass das eine völlig harmlose Webseite mit einem doppelten Skript für das Verwürfeln einer Mailadresse ist sein soll. Es fehlt an jeglicher Raffinesse, die Fähigkeiten und Kenntnisse des „Webmasters“ möchte ich nicht beurteilen müssen. Immerhin richtet das Zeug keinen oder keinen auch nur halbwegs ernsthaften Schaden an, außer ein paar, für derlei ungewöhnlich empfängliche Leute zu erschrecken.

    Vorliegend wäre ich genau dann verschreckt, wenn die betreibende Person oder Firma für mich tätig wäre … und hätte Bedenken bezüglich meines eigenen „Setups“ wenn ich bei diesem Vorkommnis mehr als nur „erstaunt“ wäre.

    1. Hallo Raketenwilli,

      offenbar ist bikeharz.de eine von einer IT Klitsche geparkte Domain.

      Ein Besuch dort zeigt die Berechtigung meiner Wortwahl.

      • er bittet um eine Cookie-Erlaubnis. Der einzige Cookie, für den er eine Erlaubnis braucht, ist der, der die Erlaubnis speichert. Ansonsten gibt's nur Session-Cookies
      • dafür überlagert die Erlaubnisfrage den Link zum Impressum.
      • Oben gibt's einen Link "Fernwartung". Klickt man den, wird einem unverzüglich der Download eines EXE angeboten, das wohl einen Remote-Zugang zum Anwender-PC ermöglicht. Das ist sicherlich bequem für den hilfsbedürftigen Kunden, ich finde aber, dass so ein Link auf der Startseite viel zu gefährlich ist. Der gehört auf eine eigene Seite, zusammen mit erläuterndem Text und einem Hinweis auf das, was damit passiert.

      Die unbeholfen gebaute und nicht korrekt abrufbare Parkseite von bikeharz.de ist ein weiteres Zeichen für die Qualität des Dienstleisters. Sowas sollte einen kompetenten Webseitenanbieter doch höchstens 5 Minuten kosten.

      Es ist ja auch nicht so, als ob bikeharz.de erst kürzlich übernommen worden sei. DENIC sagt:

      Die Domain bikeharz.de ist bereits registriert. Letzte Aktualisierung: 23.03.2018

      Die Wayback-Machine sagt, dass die x-httpd-php Response seit August 2018 geliefert wird, und alle vorherigen Instanzen von bikeharz.de, seit 2014, Parkseiten waren.

      Oh je…

      Tom, die Domain ist bestimmt preisgünstig zu haben, die dümpelt nur 'rum.

      Rolf

      --
      sumpsi - posui - obstruxi
      1. Die unbeholfen gebaute und nicht korrekt abrufbare Parkseite von bikeharz.de ist ein weiteres Zeichen für die Qualität des Dienstleisters.

        😷 Im Hinblick auf den Konfigurationsfehler sollte er wohl mal seinen eigenen Kurs zum Thema Plesk besuchen. Ansonsten erinnert das multibel fehlerhafte Zeug des „erprobten Experten“ doch sehr an eine teure Bude in der Hansaallee auf der billigen Seite von Düsseldorf.

        Tom, die Domain ist bestimmt preisgünstig zu haben, die dümpelt nur 'rum.

        Ich rate bei Kontaktaufnahme zum Gehörschutz. Ist sicherlich einer, der einem „ein Ohr abkaut“ und noch immer vermeint, dass Domains „ungeheuer wertvoll“ seien.

        1. Hello,

          Tom, die Domain ist bestimmt preisgünstig zu haben, die dümpelt nur 'rum.

          Ich rate bei Kontaktaufnahme zum Gehörschutz. Ist sicherlich einer, der einem „ein Ohr abkaut“ und noch immer vermeint, dass Domains „ungeheuer wertvoll“ seien.

          Es muss nicht diese Domain sein. Es gibt dutzende andere, die durch Content und gute Vernetzung schnel einen guten Namen bekommen können.

          Es war mir nur das merkwürdige Verhalten beim Aufruf aufgefallen. Und weil ich keine Zeif hatte zu untersuchen, was dahintersreckt, habe ich meine Paranoia hier zur Diskussion gestellt.

          Gute Domainnamen haben aber trotz und vielleicht inzwischen wieder wegen Google durchaus ihren Wert.

          Glück Auf
          Tom vom Berg

          --
          Es gibt nichts Gutes, außer man tut es!
          Das Leben selbst ist der Sinn.
  3. Es wird ein sofortiger Download einer Datei initiiert, im FF unter Linux ohne jegliche Rückfrage. Was die Seite unter Windows veranstalten würde, habe ich (noch) nicht ausprobiert.

    Ja potzblitztausend aber auch! Mir ist da gerade sogar was noch viel mega krasseres generell aufgefallen, wo wir dringend mal drüber nachdenken sollten! Wenn ich mit meinem Browser mit aktiviertem Cache im Netz unterwegs bin, dann speichert der ständig Zeug auf meiner Festplatte! Krass!

    1. Hello,

      Es wird ein sofortiger Download einer Datei initiiert, im FF unter Linux ohne jegliche Rückfrage. Was die Seite unter Windows veranstalten würde, habe ich (noch) nicht ausprobiert.

      Ja potzblitztausend aber auch! Mir ist da gerade sogar was noch viel mega krasseres generell aufgefallen, wo wir dringend mal drüber nachdenken sollten! Wenn ich mit meinem Browser mit aktiviertem Cache im Netz unterwegs bin, dann speichert der ständig Zeug auf meiner Festplatte! Krass!

      Du solltest bei Dieter Nuhr anfangen, oder bist Du's selbst? ;-P

      Glück Auf
      Tom vom Berg

      --
      Es gibt nichts Gutes, außer man tut es!
      Das Leben selbst ist der Sinn.
      1. Du solltest bei Dieter Nuhr anfangen, oder bist Du's selbst? ;-P

        Ach der selbstverliebte Allesbesserwisser mit seinem Spruch für ganz kluge Leut, die mal einen raushauen wollen? Näh, der bin isch nett. Respekt fürs Apostroph BTW. Des kann nitt jeder.

  4. Hallo TS!

    Was da passiert, hat wahrscheinlich den Grund, dass du unter about:preferences unter „Dateien und Anwendungen“ festgelegt hast, dass Firefox so und so eine Datei mit diesem und jenem Programm öffnen soll.
    Wenn du so etwas nie getan hast, dann kann es vielleicht sein, dass du bei dem Dialog zum Verfahren mit einer Datei ein Häkchen bei „Für Dateien dieses Typs immer diese Aktion ausführen“ gesetzt hast.
    In beiden Fällen wird Firefox (soweit ich weiß) die Dateien herunterladen und dann die Dateien mit diesem und jenem Programm öffnen.

    Für den Fall, das beides auf deinem Rechner nie passiert ist, ist da was faul.

    [EDIT] Es ist ebenfalls komisch, wenn das nicht nur bei dir so ist… [/EDIT]

    Au revoir,
    Samuel Fiedler

    --
    In CSS gibt es ja position: absolute; und position: relative;. Was ist nun die Mischung daraus?
    Ganz klar: position: resolute!
    1. [EDIT] Es ist ebenfalls komisch, wenn das nicht nur bei dir so ist… [/EDIT]

      Fundstelle im Chromium, Originale Einstellung in Armbian 22.04 / Ubuntu Jammy Jellyfish (development branch):

      Chromium: Automatischen Download verhindern

      Sobald man in Chromium (Linux) einen Ordner für die Downloads fix einstellt wird automatisch heruntergeladen. Stellt man das wie oben ein kommt eine Rückfrage. (Ich überlege gerade, ob ich dafür einen Ordner ~/tmp anlege und dessen Inhalt mit einer Zeile in ~/.profile bei jedem Login lösche…)

      Firefox hab ich grad keinen, da wird ähnliches aber auch über Einstellungen→Suche nach „Download“ erreichbar sein.


      (¹)Bevor jemand fragt: O.G. OS ist, wie das „development branch“ auch aussagt, ziemlich „beta“. Ich hab auf meinem Raspi400 einige Tage gebastelt bis es mir WIRKLICH gefiel. Mein Fazit: „Nix für Anfänger.“

    2. Dieser Beitrag wurde gesperrt: Der Beitrag ist unkonstruktiv oder provokativ und trägt zu einer Verschlechterung der Stimmung bei.

      Was da passiert, hat wahrscheinlich den Grund, dass du unter about:preferences unter „Dateien und Anwendungen“ festgelegt hast, dass Firefox so und so eine Datei mit diesem und jenem Programm öffnen soll.
      Wenn du so etwas nie getan hast, dann kann es vielleicht sein, dass du bei dem Dialog zum Verfahren mit einer Datei ein Häkchen bei „Für Dateien dieses Typs immer diese Aktion ausführen“ gesetzt hast.
      In beiden Fällen wird Firefox (soweit ich weiß) die Dateien herunterladen und dann die Dateien mit diesem und jenem Programm öffnen.

      Für den Fall, das beides auf deinem Rechner nie passiert ist, ist da was faul.

      Nein, das ist alles ausgeschlossen. Tom hat hier ein ganz großes Fass bzgl. HTTP-Sicherheit als Solches aufgemacht! Nein, aufgedeckt sogar!