HTTP Sicherheit – SELFHTML-Forum Forum als Ergänzung zum SELFHTML-Wiki und zur Dokumentation SELFHTML https://forum.selfhtml.org/self?srt=yes HTTP Sicherheit Sat, 12 Mar 22 07:16:05 Z https://forum.selfhtml.org/self/2022/mar/12/http-sicherheit/1797297?srt=yes#m1797297 https://forum.selfhtml.org/self/2022/mar/12/http-sicherheit/1797297?srt=yes#m1797297 <p>Hello,</p> <p>ich habe gerade für einen Freund nach einer freien Domain gesucht und bin dabei auf eine gestoßen, die merkwürdige Dinge verursacht.</p> <p>Es wird ein sofortiger Download einer Datei initiiert, im FF unter Linux ohne jegliche Rückfrage. Was die Seite unter Windows veranstalten würde, habe ich (noch) nicht ausprobiert.</p> <p>Vielleicht kann man das ja auch so herausfinden.</p> <h4>Achtung, micht direkt aufrufen:</h4><pre><code>bikeharz.de </code></pre> <p>Was drin steht, habe ich als Textdatei unter</p> <p><em>bitworks.de/security/http-attack/bikeharz.de_20220312.txt</em> abgelegt.</p> <p>Glück Auf<br> Tom vom Berg</p> <div class="signature">-- <br> Es gibt nichts Gutes, außer man tut es!<br> Das Leben selbst ist der Sinn. </div> HTTP Sicherheit Sat, 12 Mar 22 07:34:39 Z https://forum.selfhtml.org/self/2022/mar/12/http-sicherheit/1797299?srt=yes#m1797299 https://forum.selfhtml.org/self/2022/mar/12/http-sicherheit/1797299?srt=yes#m1797299 <p>Hallo Tom,</p> <p><a href="http://bikeharz.de/" rel="nofollow noopener noreferrer">http://bikeharz.de/</a></p> <blockquote> <p>Es wird ein sofortiger Download einer Datei initiiert, im FF unter Linux ohne jegliche Rückfrage.</p> </blockquote> <p>dann hast du deinen Browser nicht ordentlich eingestellt. Meiner fragt mich anständig, wohin ich die Datei <strong>ygJK+kBY</strong> denn speichern möchte,</p> <blockquote> <p>Was die Seite unter Windows veranstalten würde, habe ich (noch) nicht ausprobiert.</p> </blockquote> <p>Vermutlich genau dasselbe.</p> <p>Da wird eine ganz gewöhnliche harmlose HTML-Ressource ausgeliefert. Nur ist sie serverseitig wohl als PHP-Code gekennzeichnet, der Server führt aber kein PHP aus. Deshalb wird die Ressource als <strong>application/x-httpd-php</strong> ausgeliefert.</p> <p>Ein gewöhnlicher Browser kann damit nichts anfangen und fragt, was er damit machen soll.</p> <blockquote> <p>Was drin steht, habe ich als Textdatei unter</p> <p><em>bitworks.de/security/http-attack/bikeharz.de_20220312.txt</em> abgelegt.</p> </blockquote> <p>Ja, dasselbe bekomme ich auch. Nix HTTP-Attack, völlig harmlos.</p> <p>Einen schönen Tag noch<br>  Martin</p> <div class="signature">-- <br> Мир для України. </div> HKVP:// Das HyperKrassVerängstigungsProtokoll Sat, 12 Mar 22 08:20:00 Z https://forum.selfhtml.org/self/2022/mar/12/http-sicherheit/1797302?srt=yes#m1797302 https://forum.selfhtml.org/self/2022/mar/12/http-sicherheit/1797302?srt=yes#m1797302 <blockquote> <p>Was die Seite unter Windows veranstalten würde, habe ich (noch) nicht ausprobiert.</p> </blockquote> <p>Ein kurzer Blick auf das Gebotene zeigt, dass es hier nur „sehr bedingt“ um „Sicherheit“ geht. Immerhin könnte nach ein paar Millionen Abrufen von einem Host aus dessen Festplatte voll sein. (Ein Datenblock und ein Verzeichniseintrag je Abruf.)</p> <p>Ansonsten sagt mein Editor, dass das eine völlig harmlose Webseite mit einem doppelten Skript für das Verwürfeln einer Mailadresse <s>ist</s> sein soll. Es fehlt an jeglicher Raffinesse, die Fähigkeiten und Kenntnisse des „Webmasters“ möchte ich nicht beurteilen müssen. Immerhin richtet das Zeug keinen oder keinen auch nur halbwegs ernsthaften Schaden an, außer ein paar, für derlei ungewöhnlich empfängliche Leute zu erschrecken.</p> <p>Vorliegend wäre ich genau dann verschreckt, wenn die betreibende Person oder Firma für mich tätig wäre … und hätte Bedenken bezüglich meines eigenen „Setups“ wenn ich bei diesem Vorkommnis mehr als nur „erstaunt“ wäre.</p> HTTP Sicherheit Sat, 12 Mar 22 09:45:11 Z https://forum.selfhtml.org/self/2022/mar/12/http-sicherheit/1797305?srt=yes#m1797305 https://forum.selfhtml.org/self/2022/mar/12/http-sicherheit/1797305?srt=yes#m1797305 <blockquote> <p>Es wird ein sofortiger Download einer Datei initiiert, im FF unter Linux ohne jegliche Rückfrage. Was die Seite unter Windows veranstalten würde, habe ich (noch) nicht ausprobiert.</p> </blockquote> <p>Ja potzblitztausend aber auch! Mir ist da gerade sogar was noch viel mega krasseres generell aufgefallen, wo wir dringend mal drüber nachdenken sollten! Wenn ich mit meinem Browser mit aktiviertem Cache im Netz unterwegs bin, dann speichert der ständig Zeug auf meiner Festplatte! Krass!</p> HTTP Sicherheit Fri, 08 Apr 22 16:35:18 Z https://forum.selfhtml.org/self/2022/mar/12/http-sicherheit/1798167?srt=yes#m1798167 https://forum.selfhtml.org/self/2022/mar/12/http-sicherheit/1798167?srt=yes#m1798167 <p>Hallo TS!</p> <p>Was da passiert, hat wahrscheinlich den Grund, dass du unter about:preferences unter „Dateien und Anwendungen“ festgelegt hast, dass Firefox so und so eine Datei mit diesem und jenem Programm öffnen soll.<br> Wenn du so etwas nie getan hast, dann kann es vielleicht sein, dass du bei dem Dialog zum Verfahren mit einer Datei ein Häkchen bei „Für Dateien dieses Typs immer diese Aktion ausführen“ gesetzt hast.<br> In beiden Fällen wird Firefox (soweit ich weiß) die Dateien herunterladen und dann die Dateien mit diesem und jenem Programm öffnen.</p> <p>Für den Fall, das beides auf deinem Rechner nie passiert ist, ist da was faul.</p> <p>[EDIT] Es ist ebenfalls komisch, wenn das nicht nur bei dir so ist… [/EDIT]</p> <p>Au revoir,<br> Samuel Fiedler</p> <div class="signature">-- <br> In CSS gibt es ja position: ab<em>solute</em>; und position: <strong>re</strong>lative;. Was ist nun die Mischung daraus?<br> Ganz klar: position: <strong>re</strong><em>solute</em>! </div> HTTP Sicherheit Sat, 12 Mar 22 07:40:11 Z https://forum.selfhtml.org/self/2022/mar/12/http-sicherheit/1797300?srt=yes#m1797300 https://forum.selfhtml.org/self/2022/mar/12/http-sicherheit/1797300?srt=yes#m1797300 <p>Hallo Martin,</p> <blockquote> <blockquote> <p>Es wird ein sofortiger Download einer Datei initiiert, im FF unter Linux ohne jegliche Rückfrage.</p> </blockquote> </blockquote> <blockquote> <p>dann hast du deinen Browser nicht ordentlich eingestellt. Meiner fragt mich anständig, wohin ich die Datei ygJK+kBY denn speichern möchte,</p> </blockquote> <p>Ich denke, das meint Tom mit dem sofortigen Download.</p> <p>Mich fragt er, wo ich die Datei "Download" speichern möchte. Im Content-Type ist kein filename angegeben, der Name "ygJK+kBYd" dürfte daher vom Firefox oder Palemoon generiert sein.</p> <p>Und es ist einfach, wie Du schon sagtest, der unbekannte Ressourcentyp, der zum Speichern statt zum Anzeigen führt.</p> <p><em>Rolf</em></p> <div class="signature">-- <br> sumpsi - posui - obstruxi </div> HTTP Sicherheit Sat, 12 Mar 22 07:54:05 Z https://forum.selfhtml.org/self/2022/mar/12/http-sicherheit/1797301?srt=yes#m1797301 https://forum.selfhtml.org/self/2022/mar/12/http-sicherheit/1797301?srt=yes#m1797301 <p>Moin,</p> <blockquote> <blockquote> <blockquote> <p>Es wird ein sofortiger Download einer Datei initiiert, im FF unter Linux ohne jegliche Rückfrage.</p> </blockquote> <p>dann hast du deinen Browser nicht ordentlich eingestellt. Meiner fragt mich anständig, wohin ich die Datei ygJK+kBY denn speichern möchte,</p> </blockquote> <p>Ich denke, das meint Tom mit dem sofortigen Download.</p> </blockquote> <p>hmm, kann auch sein.</p> <blockquote> <p>Mich fragt er, wo ich die Datei "Download" speichern möchte. Im Content-Type ist kein filename angegeben, der Name "ygJK+kBYd" dürfte daher vom Firefox oder Palemoon generiert sein.</p> </blockquote> <p>Interessant. <em>wget</em> speichert den Müll als <strong>index.html</strong>.<br> Weiß der Geier, wo dieses Tool die Erleuchtung hernimmt.</p> <blockquote> <p>Und es ist einfach, wie Du schon sagtest, der unbekannte Ressourcentyp, der zum Speichern statt zum Anzeigen führt.</p> </blockquote> <p>Ein typischer Fall von Bzb (Betreiber zu blöd). Wobei ich mit Betreiber hier ausdrücklich nicht den Besucher, sondern den Inhaber von bikeharz.de meine.</p> <p>Einen schönen Tag noch<br>  Martin</p> <div class="signature">-- <br> Мир для України. </div> HKVP:// Das HyperKrassVerängstigungsProtokoll Sat, 12 Mar 22 09:04:06 Z https://forum.selfhtml.org/self/2022/mar/12/http-sicherheit/1797304?srt=yes#m1797304 https://forum.selfhtml.org/self/2022/mar/12/http-sicherheit/1797304?srt=yes#m1797304 <p>Hallo Raketenwilli,</p> <p>offenbar ist bikeharz.de eine von einer IT Klitsche geparkte Domain.</p> <p>Ein Besuch dort zeigt die Berechtigung meiner Wortwahl.</p> <ul> <li>er bittet um eine Cookie-Erlaubnis. Der einzige Cookie, für den er eine Erlaubnis braucht, ist der, der die Erlaubnis speichert. Ansonsten gibt's nur Session-Cookies</li> <li>dafür überlagert die Erlaubnisfrage den Link zum Impressum.</li> <li>Oben gibt's einen Link "Fernwartung". Klickt man den, wird einem unverzüglich der Download eines EXE angeboten, das wohl einen Remote-Zugang zum Anwender-PC ermöglicht. Das ist sicherlich bequem für den hilfsbedürftigen Kunden, ich finde aber, dass so ein Link auf der Startseite viel zu gefährlich ist. Der gehört auf eine eigene Seite, zusammen mit erläuterndem Text und einem Hinweis auf das, was damit passiert.</li> </ul> <p>Die unbeholfen gebaute und nicht korrekt abrufbare Parkseite von bikeharz.de ist ein weiteres Zeichen für die Qualität des Dienstleisters. Sowas sollte einen kompetenten Webseitenanbieter doch höchstens 5 Minuten kosten.</p> <p>Es ist ja auch nicht so, als ob bikeharz.de erst kürzlich übernommen worden sei. DENIC sagt:</p> <p>Die Domain bikeharz.de ist bereits registriert. Letzte Aktualisierung: 23.03.2018</p> <p>Die Wayback-Machine sagt, dass die x-httpd-php Response seit August 2018 geliefert wird, und alle vorherigen Instanzen von bikeharz.de, seit 2014, Parkseiten waren.</p> <p>Oh je…</p> <p>Tom, die Domain ist bestimmt preisgünstig zu haben, die dümpelt nur 'rum.</p> <p><em>Rolf</em></p> <div class="signature">-- <br> sumpsi - posui - obstruxi </div> HKVP:// Das HyperKrassVerängstigungsProtokoll Sat, 12 Mar 22 10:59:44 Z https://forum.selfhtml.org/self/2022/mar/12/http-sicherheit/1797308?srt=yes#m1797308 https://forum.selfhtml.org/self/2022/mar/12/http-sicherheit/1797308?srt=yes#m1797308 <blockquote> <p>Die unbeholfen gebaute und nicht korrekt abrufbare Parkseite von bikeharz.de ist ein weiteres Zeichen für die Qualität des Dienstleisters.</p> </blockquote> <p> Im Hinblick auf den Konfigurationsfehler sollte er wohl mal seinen eigenen Kurs zum Thema Plesk besuchen. Ansonsten erinnert das multibel fehlerhafte Zeug des <em>„erprobten Experten“</em> doch sehr an eine teure Bude in der Hansaallee auf der billigen Seite von Düsseldorf.</p> <blockquote> <p>Tom, die Domain ist bestimmt preisgünstig zu haben, die dümpelt nur 'rum.</p> </blockquote> <p>Ich rate bei Kontaktaufnahme zum Gehörschutz. Ist sicherlich einer, der einem <em>„ein Ohr abkaut“</em> und noch immer vermeint, dass Domains <em>„ungeheuer wertvoll“</em> seien.</p> HTTP Sicherheit Sat, 12 Mar 22 10:21:27 Z https://forum.selfhtml.org/self/2022/mar/12/http-sicherheit/1797306?srt=yes#m1797306 https://forum.selfhtml.org/self/2022/mar/12/http-sicherheit/1797306?srt=yes#m1797306 <p>Hello,</p> <blockquote> <blockquote> <p>Es wird ein sofortiger Download einer Datei initiiert, im FF unter Linux ohne jegliche Rückfrage. Was die Seite unter Windows veranstalten würde, habe ich (noch) nicht ausprobiert.</p> </blockquote> <p>Ja potzblitztausend aber auch! Mir ist da gerade sogar was noch viel mega krasseres generell aufgefallen, wo wir dringend mal drüber nachdenken sollten! Wenn ich mit meinem Browser mit aktiviertem Cache im Netz unterwegs bin, dann speichert der ständig Zeug auf meiner Festplatte! Krass!</p> </blockquote> <p>Du solltest bei Dieter Nuhr anfangen, oder bist Du's selbst? ;-P</p> <p>Glück Auf<br> Tom vom Berg</p> <div class="signature">-- <br> Es gibt nichts Gutes, außer man tut es!<br> Das Leben selbst ist der Sinn. </div> HTTP Sicherheit Sat, 12 Mar 22 15:14:18 Z https://forum.selfhtml.org/self/2022/mar/12/http-sicherheit/1797313?srt=yes#m1797313 https://forum.selfhtml.org/self/2022/mar/12/http-sicherheit/1797313?srt=yes#m1797313 <blockquote> <p>Du solltest bei Dieter Nuhr anfangen, oder bist Du's selbst? ;-P</p> </blockquote> <p>Ach der selbstverliebte Allesbesserwisser mit seinem Spruch für ganz kluge Leut, die mal einen raushauen wollen? Näh, der bin isch nett. Respekt fürs Apostroph BTW. Des kann nitt jeder.</p> HKVP:// Das HyperKrassVerängstigungsProtokoll Sat, 12 Mar 22 11:25:22 Z https://forum.selfhtml.org/self/2022/mar/12/http-sicherheit/1797309?srt=yes#m1797309 https://forum.selfhtml.org/self/2022/mar/12/http-sicherheit/1797309?srt=yes#m1797309 <p>Hello,</p> <blockquote> <blockquote> <p>Tom, die Domain ist bestimmt preisgünstig zu haben, die dümpelt nur 'rum.</p> </blockquote> <p>Ich rate bei Kontaktaufnahme zum Gehörschutz. Ist sicherlich einer, der einem <em>„ein Ohr abkaut“</em> und noch immer vermeint, dass Domains <em>„ungeheuer wertvoll“</em> seien.</p> </blockquote> <p>Es muss nicht <em>diese</em> Domain sein. Es gibt dutzende andere, die durch Content und gute Vernetzung schnel einen guten Namen bekommen können.</p> <p>Es war mir nur das merkwürdige Verhalten beim Aufruf aufgefallen. Und weil ich keine Zeif hatte zu untersuchen, was dahintersreckt, habe ich meine Paranoia hier zur Diskussion gestellt.</p> <p>Gute Domainnamen haben aber trotz und vielleicht inzwischen wieder wegen Google durchaus ihren Wert.</p> <p>Glück Auf<br> Tom vom Berg</p> <div class="signature">-- <br> Es gibt nichts Gutes, außer man tut es!<br> Das Leben selbst ist der Sinn. </div> HTTP Sicherheit Fri, 08 Apr 22 17:06:00 Z https://forum.selfhtml.org/self/2022/mar/12/http-sicherheit/1798170?srt=yes#m1798170 https://forum.selfhtml.org/self/2022/mar/12/http-sicherheit/1798170?srt=yes#m1798170 <blockquote> <p>[EDIT] Es ist ebenfalls komisch, wenn das nicht nur bei dir so ist… [/EDIT]</p> </blockquote> <p>Fundstelle im Chromium, Originale Einstellung in Armbian 22.04 / Ubuntu Jammy Jellyfish (development branch):</p> <p><a href="/images/62970bd0-b75c-11ec-8fbf-b42e9947ef30.png" rel="noopener noreferrer"><img src="/images/62970bd0-b75c-11ec-8fbf-b42e9947ef30.png?size=medium" alt="Chromium: Automatischen Download verhindern" title="Chromium: Automatischen Download verhindern" loading="lazy"></a></p> <p>Sobald man in Chromium (Linux) einen Ordner für die Downloads fix einstellt wird automatisch heruntergeladen. Stellt man das wie oben ein kommt eine Rückfrage. (Ich überlege gerade, ob ich dafür einen Ordner <code>~/tmp</code> anlege und dessen Inhalt mit einer Zeile in ~/.profile bei jedem Login lösche…)</p> <p>Firefox hab ich grad keinen, da wird ähnliches aber auch über Einstellungen→Suche nach „Download“ erreichbar sein.</p> <hr> <p>(¹)Bevor jemand fragt: O.G. OS ist, wie das „development branch“ auch aussagt, ziemlich „beta“. Ich hab auf meinem Raspi400 einige Tage gebastelt bis es mir WIRKLICH gefiel. Mein Fazit: <em>„Nix für Anfänger.“</em></p> HTTP Sicherheit Sat, 09 Apr 22 03:41:54 Z https://forum.selfhtml.org/self/2022/mar/12/http-sicherheit/1798180?srt=yes#m1798180 https://forum.selfhtml.org/self/2022/mar/12/http-sicherheit/1798180?srt=yes#m1798180 <blockquote> <p>Was da passiert, hat wahrscheinlich den Grund, dass du unter about:preferences unter „Dateien und Anwendungen“ festgelegt hast, dass Firefox so und so eine Datei mit diesem und jenem Programm öffnen soll.<br> Wenn du so etwas nie getan hast, dann kann es vielleicht sein, dass du bei dem Dialog zum Verfahren mit einer Datei ein Häkchen bei „Für Dateien dieses Typs immer diese Aktion ausführen“ gesetzt hast.<br> In beiden Fällen wird Firefox (soweit ich weiß) die Dateien herunterladen und dann die Dateien mit diesem und jenem Programm öffnen.</p> <p>Für den Fall, das beides auf deinem Rechner nie passiert ist, ist da was faul.</p> </blockquote> <p>Nein, das ist alles ausgeschlossen. Tom hat hier ein ganz großes Fass bzgl. HTTP-Sicherheit als Solches aufgemacht! Nein, aufgedeckt sogar!</p>