Willkommen bei AEP Emulation Page - Emulation News

Hauptmenü
· Home / News
· News Kategorien
· News Archiv

· Mein Account
· Suche
· Forum (neu)
· Forum
· Weblinks
· Spiele Reviews
· Übersetzungen
· Impressum
· Datenschutz

Downloads
 


Forum
Mitglieder Online
Keine Mitglieder online.

You are an anonymous user. You can register for free by clicking here
Benutzername
Kennwort
 Logininfo speichern

Infos
· Museum
· Infocenter
· Das AEP Team
· Member Liste
· Top 25 Liste
· Glossar
· FAQ

Review of the moment

Sprache
Sprache auswählen:

DeutschEnglisch

News-Export
Holt Euch unsere News auf Eure Seite:
· RSS Newsfeed How-to
· RSS News-syndication Deutsch
· News-Banner (JPG)

Friends
· Emu-France
· progetto-SNAPS
· EmuBit.pl
· PDRoms


Neues Thema eröffnen   Neue Antwort erstellen  
Vorheriges Thema anzeigen Druckerfreundliche Version Einloggen, um private Nachrichten zu lesen Nächstes Thema anzeigen
Autor Nachricht
RagnarokOffline
Titel: Dropbox = Sicherheitsrisiko?  BeitragVerfasst am: 10.04.2011, 12:24 Uhr
Jinxed


Anmeldungsdatum: 12. Dez 2006
Beiträge: 5.397

Wohnort: 기정동
Status: Offline
[quote:095453b3e3="Der Standard"]Sicherheitsrisiko: Experte warnt vor Online-Speicher Dropbox
10. April 2011, 10:28


Kopie einer Datei reicht aus, um unbemerkten Zugriff auf Daten zu bekommen

In den letzten Jahren sind Online-Services zum Abgleich der eigenen Daten zwischen mehreren Rechnern immer beliebter geworden, zu den prominentesten Vertretern dieser Sparte zählt Dropbox. Mit Clients für zahlreiche Plattformen - von Windows, Mac und Linux bis zu Android, iOS und Blackerry - legt man vor allem Wert auf die besonders einfache Nutzung, die Synchronisation wird zum Kinderspiel.

Probleme

Ein Spiel, das aber durchaus so seine Gefahren birgt, wie nun der Sicherheitsexperte Derek Newton von Time Warner warnt: Bei seinen Untersuchungen des Windows-Clients sei er auf eine schwerwiegende Sicherheitslücke gestoßen: Dropbox speichert alle Informationen zur Autorisierung in einer einzigen Datei ab, nämlich in der config.db im Verzeichnis %APPDATA%\Dropbox. Das Problem dabei: Diese Einstellungen sind in keinster Weise an den jeweiligen Rechner gebunden.

Kopie

Wem es also gelingt diese Datei zu kopieren, kann sie einfach auf einen eigenen Rechner spielen und in Folge dort alle Daten vom betreffenden Dropbox-Account mitsynchronisieren. Dies noch dazu völlig unbemerkt, da die solcherart geklonte Installation nicht als neues System aufscheint. Selbst das Ändern des Passworts durch den ursprünglichen User hätte hier keine Auswirkungen, Dropbox überprüft nämlich nur die lokal vergebene ID, nicht jedes mal die konkreten Login-Daten.

Szenario

Als konkretes Angriffsszenario zeichnet Newton das Auslesen der config.db durch einen Trojaner. In Folge könnten AngreiferInnen dann den Dropbox-Account nicht nur zum Auslesen der Daten sondern auch zum Einschmuggeln von Malware auf weitere Rechner nutzen.

Warnung

Newton hat dieses Verhalten nur für die Windows-Version der Software untersucht, es ist aber durchaus wahrscheinlich, dass Client-Ausgaben für andere Betriebssysteme den gleichen Design-Fehler aufweisen. Der Sicherheitsexperte warnt als Konsequenz vor allem Unternehmen derzeit vor dem Einsatz von Dropbox. Wer nicht auf die Software verzichten will, sollte aber zumindest die Liste der verbundenen Systeme durchgehen und alles entfernen was nicht mehr benötigt wird oder potentiell kompromittiert sein könnte. Zudem sollte man kritische Daten ohnehin nur verschlüsselt abgleichen lassen. (red, derStandard.at, 10.04.11)



Quelle

_________________
 
 
 
 Benutzer-Profile anzeigen Website dieses Benutzers besuchen  
Antworten mit Zitat Nach oben
krysmopompasOffline
Titel:   BeitragVerfasst am: 10.04.2011, 14:43 Uhr
Retrogott


Anmeldungsdatum: 19. Jun 2008
Beiträge: 2.094


Status: Offline
Man kann ein auf dem Rechner gespeichertes Passwort auslesen - wer hätte das gedacht Laughing.

Gut, man könnte das besser verstecken, aber eine richtige Sicherheitslücke ist was anderes.

_________________
If you can’t run at 60 fps, you’re not a good racing game. 
 
 
 Benutzer-Profile anzeigen  
Antworten mit Zitat Nach oben
laformaOffline
Titel:   BeitragVerfasst am: 10.04.2011, 16:42 Uhr
Retrokenner


Anmeldungsdatum: 01. Jun 2007
Beiträge: 394


Status: Offline
naja, problem ist, dass in der datei keine zugangsdaten stehen sondern eine id. selbst wenn du deine kennwoerter aenderst bleibt diese id immer identisch. also da haben die sich schon ein bissl ein ei gelegt... aber ansonsten nenn ich das kein sicherheitsrisiko, weil wenn jemand zugriff auf die datei auf deinem rechner hat, kann er auch jede andere datei abgreifen - er hat ja bereits zugriff.
 
 
 
 Benutzer-Profile anzeigen  
Antworten mit Zitat Nach oben
Beiträge vom vorherigen Thema anzeigen:     
Gehe zu:  
Alle Zeiten sind GMT + 1 Stunde
Neues Thema eröffnen   Neue Antwort erstellen  
Vorheriges Thema anzeigen Druckerfreundliche Version Einloggen, um private Nachrichten zu lesen Nächstes Thema anzeigen
PNphpBB2 © 
AEP Emulation Page 1998 - 2024