Dropbox / nettes File sync Teil - Seite 4

Seite 4 von 16 - Forum: Applications, Apps & Drivers auf overclockers.at

URL: https://www.overclockers.at/applications/dropbox_nettes_file_sync_teil_215761/page_4 - zur Vollversion wechseln!

Taltos schrieb am 11.11.2010 um 10:39

DB is mein git server ich dreh's halt jetzt beim coden immer ab :P
und die features sind nicht nur beim programmieren sinnvoll (siehe e.g. linux ~ files)

Unholy schrieb am 11.11.2010 um 10:39

falls mir wer was gutes tun möchte :P

http://db.tt/DuhihS0

Spikx schrieb am 12.04.2011 um 10:02

Uije

Zitat
Sicherheitsrisiko bei Dropbox

Der Sicherheitsexperte Derek Newton hat bei Dropbox eine gravierende Sicherheitslücke festgestellt. Sobald jemand die Konfigurationsdatei kennt, bekommt er unentdeckt Zugriff auf sämtliche abgespeicherte Dateien. Auch ein Passwortwechsel nützt nichts.

http://futurezone.at/produkte/2656-...bei-dropbox.php

stevke schrieb am 12.04.2011 um 10:08

Zitat von Taltos
DB is mein git server ich dreh's halt jetzt beim coden immer ab :P
und die features sind nicht nur beim programmieren sinnvoll (siehe e.g. linux ~ files)

Du könntest es auch umgekehrt machen: http://www.sparkleshare.org/

Smut schrieb am 12.04.2011 um 11:28

ich hab am wochenende das problem nachgestellt und hier kurz ein video aufgenommen.
der "angriff" erfolgt durch usereingabe. in dem fall ein link mit einer batch-file, die dropbox beendet, eine ftp verbindung aufbaut und die config.db versendet.

Beim Abspielen dieses Videos werden Daten an YouTube übermittelt. Durch einen Klick auf das Video wird es automatisch abgespielt und du akzeptierst damit die Datenschutzerklärung von YouTube bzw. Google.

Dropbox config.db

comments zu den einzelnen schritten werde ich auf youtube noch einfügen.

EG schrieb am 12.04.2011 um 11:36

Habs am WE auch schon in einer VM getestet...funktioniert ausgezeichnet...

schrieb am 12.04.2011 um 11:45

sry, aber wennst sowieso schon aufm rechner bist oder kommst, wozu brauch ich die dropbox, wenn ich alles haben kann?

Smut schrieb am 12.04.2011 um 11:47

nein, das ist kein argument.
ich hab aus einfachen gründen keinen komplizierten exploit genommen, ich wollte es ja nur visualisieren.

mit nem remoteexploit oder browser-exploit, dann bin ich nicht am rechner und erhalte die file genauso. es ist auch ein unterschied ob ich einmalig eine 7kb file benötige und dann mitlauschen kann oder ob ich die entsprechenden dateien tatsächlich übertragen muss.
das kann ich mit jedem beliebigen installer verstecken etc.

Spikx schrieb am 12.04.2011 um 11:48

Aber das ganze ist im Prinzip auch nichts anderes als ungeschützte Cookies, ungeschützte Passwortmanager files (zB im FireFox ohne Master Passwort), unverschlüsselte FTP site Informationen in diversen FTP clients, etc.

Wenn dein System lokal kompromittiert ist, dann hat man noch mehr Probleme, nicht nur bei der Dropbox (deren files ohnehin sowieso auch lokal vorhanden sind).

Fragt sich nur ob und was Dropbox dagegen tun kann, ohne die usability zu beeinträchtigen.

Smut schrieb am 12.04.2011 um 11:49

problem ist halt ua. auch, dass du das passwort ändern kannst und die credentials ja noch immer gelten

EG schrieb am 12.04.2011 um 11:52

Hast du probiert was passiert, wenn man den PC des Angreifers per Webinterface unlinkt?

Das wär noch zu probieren...aber ich schätz mal, der kann sich einfach wieder neu relinken.

Smut schrieb am 12.04.2011 um 11:54

ich schätze mal so sperrt man sich aus. relink dürfte dann nicht mehr funktionieren, aber ich probiers noch.

userohnenamen schrieb am 12.04.2011 um 12:03

danke smut für die mühe mitn ausprobieren :thumbsup:

nitschi schrieb am 12.04.2011 um 12:05

Versteh ich das richtig, dass dieser Exploit keine Gefahr darstellt, wenn man Dropbox ausschliesslich unter OS X verwendet, oder irr ich mich da?

edit: ok, hab mich geirrt hätte mich auch gewundert

Smut schrieb am 12.04.2011 um 12:08

ich gehe mal davon aus, dass sie unter os x/linux den selben designfehler drinnen haben. ich habs mir aber noch nicht angesehen.