Welcome to AEP Emulation Page - Emulation News
   
Hosting by: Uberspace.de   
Menu
· Home / News
· News Categories
· News Archiv
· Submit news

· My Account
· Search
· Forums
· Online Games
· Weblinks
· Game Reviews
· Translations
· Impressum

Downloads
 


Infos
· Museum
· Infocenter
· Das AEP Team
· Member Liste
· Top 25 Liste
· Glossar
· FAQ

Friends
· Emulation64
· 1Emulation.com
· Emu-France
· progetto-SNAPS


Post new topic   Reply to topic
View previous topic Printable version Log in to check your private messages View next topic
Author Message
RagnarokOffline
Post subject: Dropbox = Sicherheitsrisiko?  PostPosted: Apr 10, 2011 - 12:24 PM
Jinxed


Joined: Dec 12, 2006
Posts: 5349

Location: 기정동

Highscores in 09/2019

Status: Offline
Der Standard wrote:
Sicherheitsrisiko: Experte warnt vor Online-Speicher Dropbox
10. April 2011, 10:28


Kopie einer Datei reicht aus, um unbemerkten Zugriff auf Daten zu bekommen

In den letzten Jahren sind Online-Services zum Abgleich der eigenen Daten zwischen mehreren Rechnern immer beliebter geworden, zu den prominentesten Vertretern dieser Sparte zählt Dropbox. Mit Clients für zahlreiche Plattformen - von Windows, Mac und Linux bis zu Android, iOS und Blackerry - legt man vor allem Wert auf die besonders einfache Nutzung, die Synchronisation wird zum Kinderspiel.

Probleme

Ein Spiel, das aber durchaus so seine Gefahren birgt, wie nun der Sicherheitsexperte Derek Newton von Time Warner warnt: Bei seinen Untersuchungen des Windows-Clients sei er auf eine schwerwiegende Sicherheitslücke gestoßen: Dropbox speichert alle Informationen zur Autorisierung in einer einzigen Datei ab, nämlich in der config.db im Verzeichnis %APPDATA%\Dropbox. Das Problem dabei: Diese Einstellungen sind in keinster Weise an den jeweiligen Rechner gebunden.

Kopie

Wem es also gelingt diese Datei zu kopieren, kann sie einfach auf einen eigenen Rechner spielen und in Folge dort alle Daten vom betreffenden Dropbox-Account mitsynchronisieren. Dies noch dazu völlig unbemerkt, da die solcherart geklonte Installation nicht als neues System aufscheint. Selbst das Ändern des Passworts durch den ursprünglichen User hätte hier keine Auswirkungen, Dropbox überprüft nämlich nur die lokal vergebene ID, nicht jedes mal die konkreten Login-Daten.

Szenario

Als konkretes Angriffsszenario zeichnet Newton das Auslesen der config.db durch einen Trojaner. In Folge könnten AngreiferInnen dann den Dropbox-Account nicht nur zum Auslesen der Daten sondern auch zum Einschmuggeln von Malware auf weitere Rechner nutzen.

Warnung

Newton hat dieses Verhalten nur für die Windows-Version der Software untersucht, es ist aber durchaus wahrscheinlich, dass Client-Ausgaben für andere Betriebssysteme den gleichen Design-Fehler aufweisen. Der Sicherheitsexperte warnt als Konsequenz vor allem Unternehmen derzeit vor dem Einsatz von Dropbox. Wer nicht auf die Software verzichten will, sollte aber zumindest die Liste der verbundenen Systeme durchgehen und alles entfernen was nicht mehr benötigt wird oder potentiell kompromittiert sein könnte. Zudem sollte man kritische Daten ohnehin nur verschlüsselt abgleichen lassen. (red, derStandard.at, 10.04.11)




Quelle

_________________
 
 
 
 View user's profile Visit poster's website  
Reply with quote Back to top
krysmopompasOffline
Post subject:   PostPosted: Apr 10, 2011 - 02:43 PM
Retrogott


Joined: Jun 19, 2008
Posts: 2066



Highscores in 09/2019

Status: Offline
Man kann ein auf dem Rechner gespeichertes Passwort auslesen - wer hätte das gedacht Laughing.

Gut, man könnte das besser verstecken, aber eine richtige Sicherheitslücke ist was anderes.

_________________
If you can’t run at 60 fps, you’re not a good racing game. 
 
 
 View user's profile  
Reply with quote Back to top
laformaOffline
Post subject:   PostPosted: Apr 10, 2011 - 04:42 PM
Retrokenner


Joined: Jun 01, 2007
Posts: 394



Highscores in 09/2019

Status: Offline
naja, problem ist, dass in der datei keine zugangsdaten stehen sondern eine id. selbst wenn du deine kennwoerter aenderst bleibt diese id immer identisch. also da haben die sich schon ein bissl ein ei gelegt... aber ansonsten nenn ich das kein sicherheitsrisiko, weil wenn jemand zugriff auf die datei auf deinem rechner hat, kann er auch jede andere datei abgreifen - er hat ja bereits zugriff.
 
 
 
 View user's profile  
Reply with quote Back to top
Display posts from previous:     
Jump to:  
All times are GMT + 1 Hour
Post new topic   Reply to topic
View previous topic Printable version Log in to check your private messages View next topic
Powered by PNphpBB2 © The PNphpBB Group
Credits
All logos and trademarks in this site are property of their respective owner. The comments are property of their posters, all the rest © 1998 - 2018 AEP Emulation Page.
You can syndicate our news via RSS using the file rss_en.xml for English headlines and rss_de.xml for German headlines.