Ich habe mir den Artikel nun doch mal durchgelesen: Ein unterirdisches Machwerk.
Ist das ein Journalismus-Schülerwettbewerb oder versucht man Menschen am Rande der Gesellschaft als Journalisten zu resozialisieren?
"Monatelang konnten die beiden auf den Server von PayPal zugreifen und dort Dateien auslesen und herunterladen." Wozu ist denn wohl so ein Server ans Internet angebunden?
"Das waren die Root-Server, da läuft alles drüber. Wir hätten den gesamten Quellcode von PayPal auslesen können." Doch sie sind white hats – gute Hacker.
Wie kann man so viel Mist in so wenige Worte packen?
Kompletter Horror. Dem Manne sollte man das Schreiben verbieten, zumindest über alles, was auch nur ansatzweise mit Informationsverarbeitung zu tun hat.
Ganz am Rande wollte ich noch erwähnen, dass ich PayPal für eine der übelsten Geißeln der Menschheit halte. Je mehr Probleme die haben, desto besser.
Natürlich hat der Zeit-Journalist keine Ahnung von Webservern und deren Konfiguration oder gar Programmierung.
Aber dass es offenbar möglich war, Dateien downzuloaden, welche sich ausserhalb der über den Webserver öffentlich zugänglichen Verzeichnisse befinden, wie z.B. Betriebssystemdateien vom Computer, auf dem der Webserver läuft, scheint mir aus dem Text hervorzugehen, obwohl fehlerhaft (Datei als Ordner etc.) beschrieben.
Aber dass es offenbar möglich war, Dateien downzuloaden, welche sich ausserhalb der über den Webserver öffentlich zugänglichen Verzeichnisse befinden, wie z.B. Betriebssystemdateien, auf denen der Webserver läuft, scheint mir aus dem Text hervorzugehen, obwohl fehlerhaft (Datei als Ordner etc.) beschrieben.
Schon klar. Aber im einleitenden Teil lässt er reisserisch so klingen als sei der Zugriff auf einem Server im Internet - sogar den von PayPal!!1!1! - etwas Ungeheuerliches. Wer nicht weiterliest (mit Recht), bekommt die Qualifizierung dieser Aussage gar nicht mit.
Wenn z.B. unsere Kanzlerin sieht, dass jemand "auf den Server von PayPal zugreifen und dort Dateien auslesen und herunterladen" konnte, kriegt sie doch einen Herzkasper ===8-()
...und fängt wieder an über das Neuland rumzuheulen.
Schon klar. Aber im einleitenden Teil lässt er reisserisch so klingen als sei der Zugriff auf einem Server im Internet - sogar den von PayPal!!1!1! - etwas Ungeheuerliches...
Hängt davon ab auf was man zugreifen kann. Dass man die Systemdateien lesen kann ist, ist nicht nur ungewöhnlich sondern katastrophal. Wenn das geht dann sind die erwähnte PHP Skripte selbst, samt allen sich darin befindlichen Informationen wie Pfade, Hostnamen und wo möglich Passwörter für z.B. Datenbanken ebenfalls ungeschützt.
Die Tatsache, dass die Beiden mehrere Tausend € als Belohnung erhalten haben, zeigt dass der Zugriff doch eher ungewöhnlich war.
Hängt davon ab auf was man zugreifen kann. Dass man die Systemdateien lesen kann ist, ist nicht nur ungewöhnlich sondern katastrophal.
Natürlich. Das war aber gar nicht mein Punkt. Ich störe mich in diesem speziellen Aspekt - mal den ganzen Artikel betrachtet - nicht am Inhalt. Es geht mir um den Tonfall und darum, wo die Akzente gesetzt werden:
Generell ist es erstmal die Aufgabe eines Servers Daten anzubieten.
Ein Server ist sehr glücklich wenn man auf seine Daten zugreift!
Das so zu platzieren und zu formulieren als sei es etwas Anstößiges, ist entweder ignorant, stümperhaft oder unseriös.
Hängt davon ab auf was man zugreifen kann. Dass man die Systemdateien lesen kann ist, ist nicht nur ungewöhnlich sondern katastrophal. Wenn das geht dann sind die erwähnte PHP Skripte selbst, samt allen sich darin befindlichen Informationen wie Pfade, Hostnamen und wo möglich Passwörter für z.B. Datenbanken ebenfalls ungeschützt.
Das kann man so nicht sagen. /etc/passwd ist auf einem Linuxsystem allgemein zugänglich, hat also standardmäßig für alle Nutzer Leserechte. Ist es nämlich nicht so, dass in der Datei, wie der Name suggeriert, Passwörter stehen würden, dafür ist /etc/shadow da. Wenn ich mir einen V-Server anmiete, bin ich da auch mit tausenden anderen Nutzern drauf und kann die /etc/passwd auslesen, sofern das vom Administrator nicht explizit geändert wurde. Die /etc/shadow Datei hingegen kann ich nicht auslesen.
Dateien, die Passwörter enthalten, sollten wie gesagt keine öffentlichen Leserechte haben. Und das z.B. PHP Dateien einfach so ausgeliefert werden, ist auch nicht sehr wahrscheinlich, da der Server so konfiguriert ist, dass er Dateien mit entsprechendem MIME-Type erstmal durch den Interpreter jagt.
Das dieses Leck natürlich nicht gut ist, ist klar. Aber ich finde es falsch, als Autor mit mangelnder Sachkenntnis Leute zu polarisieren, denen ebenfalls die Sachkenntnis fehlt. Das schafft nur Panik.
__________________
Zitat:
Zitat von captain hook
Heute wird ja schon zum Bikefitter gerannt, bevor man überhaupt weiß, wie man ne Kurbel im Kreis dreht.
Der Autor zitiert immerhin die Quelle, den Blogeintrag, den er als PC-Laie (schlecht) zusammenfasste. Im Blog stehen die problematische Codezeile und die Zeit, welche die Firma bis zur Fehlerbereinigung (= 1 Zeile Code) brauchte.
gemeinsam zwiften |
youtube |
forum heute
Rechner
wenn man auf seine Daten zugreift! 
