Dropbox / nettes File sync Teil

Print Page

watercool 23.04.2010 - 18:54 38425 239

Posts

Taltos Here to stay Registered: Jan 2004 Location: Wien Posts: 1520	11.11.2010 - 10:39 DB is mein git server ich dreh's halt jetzt beim coden immer ab :P und die features sind nicht nur beim programmieren sinnvoll (siehe e.g. linux ~ files)
Unholy Freak Registered: Jan 2001 Location: Vienna Posts: 3591	11.11.2010 - 10:39 falls mir wer was gutes tun möchte :P http://db.tt/DuhihS0
Spikx My Little Pwny Registered: Jan 2002 Location: Scotland Posts: 13496	12.04.2011 - 10:02 Uije Zitat Sicherheitsrisiko bei Dropbox Der Sicherheitsexperte Derek Newton hat bei Dropbox eine gravierende Sicherheitslücke festgestellt. Sobald jemand die Konfigurationsdatei kennt, bekommt er unentdeckt Zugriff auf sämtliche abgespeicherte Dateien. Auch ein Passwortwechsel nützt nichts. http://futurezone.at/produkte/2656-...bei-dropbox.php
stevke in the bin Registered: Sep 2001 Location: Wien Posts: 3967	12.04.2011 - 10:08 Zitat von Taltos DB is mein git server ich dreh's halt jetzt beim coden immer ab :P und die features sind nicht nur beim programmieren sinnvoll (siehe e.g. linux ~ files) Du könntest es auch umgekehrt machen: http://www.sparkleshare.org/
Smut takeover&ether Registered: Feb 2003 Location: VIE Posts: 16867	12.04.2011 - 11:28 ich hab am wochenende das problem nachgestellt und hier kurz ein video aufgenommen. der "angriff" erfolgt durch usereingabe. in dem fall ein link mit einer batch-file, die dropbox beendet, eine ftp verbindung aufbaut und die config.db versendet. Beim Abspielen dieses Videos werden Daten an YouTube übermittelt. Durch einen Klick auf das Video wird es automatisch abgespielt und du akzeptierst damit die Datenschutzerklärung von YouTube bzw. Google. Dropbox config.db comments zu den einzelnen schritten werde ich auf youtube noch einfügen.
EG thinking with portals Registered: May 2004 Location: 11** Posts: 3919	12.04.2011 - 11:36 Habs am WE auch schon in einer VM getestet...funktioniert ausgezeichnet...
Guest Deleted User Registered: n/a Location: Posts: n/a	12.04.2011 - 11:45 sry, aber wennst sowieso schon aufm rechner bist oder kommst, wozu brauch ich die dropbox, wenn ich alles haben kann?
Smut takeover&ether Registered: Feb 2003 Location: VIE Posts: 16867	12.04.2011 - 11:47 nein, das ist kein argument. ich hab aus einfachen gründen keinen komplizierten exploit genommen, ich wollte es ja nur visualisieren. mit nem remoteexploit oder browser-exploit, dann bin ich nicht am rechner und erhalte die file genauso. es ist auch ein unterschied ob ich einmalig eine 7kb file benötige und dann mitlauschen kann oder ob ich die entsprechenden dateien tatsächlich übertragen muss. das kann ich mit jedem beliebigen installer verstecken etc.
Spikx My Little Pwny Registered: Jan 2002 Location: Scotland Posts: 13496	12.04.2011 - 11:48 Aber das ganze ist im Prinzip auch nichts anderes als ungeschützte Cookies, ungeschützte Passwortmanager files (zB im FireFox ohne Master Passwort), unverschlüsselte FTP site Informationen in diversen FTP clients, etc. Wenn dein System lokal kompromittiert ist, dann hat man noch mehr Probleme, nicht nur bei der Dropbox (deren files ohnehin sowieso auch lokal vorhanden sind). Fragt sich nur ob und was Dropbox dagegen tun kann, ohne die usability zu beeinträchtigen.
Smut takeover&ether Registered: Feb 2003 Location: VIE Posts: 16867	12.04.2011 - 11:49 problem ist halt ua. auch, dass du das passwort ändern kannst und die credentials ja noch immer gelten
EG thinking with portals Registered: May 2004 Location: 11** Posts: 3919	12.04.2011 - 11:52 Hast du probiert was passiert, wenn man den PC des Angreifers per Webinterface unlinkt? Das wär noch zu probieren...aber ich schätz mal, der kann sich einfach wieder neu relinken.
Smut takeover&ether Registered: Feb 2003 Location: VIE Posts: 16867	12.04.2011 - 11:54 ich schätze mal so sperrt man sich aus. relink dürfte dann nicht mehr funktionieren, aber ich probiers noch.
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15878	12.04.2011 - 12:03 danke smut für die mühe mitn ausprobieren :thumbsup:
nitschi miau! Registered: Oct 2002 Location: Wien Posts: 1739	12.04.2011 - 12:05 Versteh ich das richtig, dass dieser Exploit keine Gefahr darstellt, wenn man Dropbox ausschliesslich unter OS X verwendet, oder irr ich mich da? edit: ok, hab mich geirrt hätte mich auch gewundert Bearbeitet von nitschi am 12.04.2011, 12:22
Smut takeover&ether Registered: Feb 2003 Location: VIE Posts: 16867	12.04.2011 - 12:08 ich gehe mal davon aus, dass sie unter os x/linux den selben designfehler drinnen haben. ich habs mir aber noch nicht angesehen.