Ein Frohes Neues Jahr 🥳🎆🎇🧨
Das längste Thema
- fLoo
- Thread is Unresolved
-
-
Ich wünsche euch auch ein frohes neues Jahr 2024!
Ihr seid eine tolle Community!🎆✨🎉 -
gibts hier keine, hier sind sie vernünftig
Du erkennst sie natürlich nicht. Sie sind ja "privat" dort.
-
Ich möchte nur mal fix sagen, unser Hund, ein 16 Wochen alter Zwergschnauzer hat Silvester einfach verschlafen, ich könnte nicht stolzer sein 🥰
-
Ohrenarzt?
-
Frohes neues Jahr zusammen!
-
Auch ein frohes Neues allen.
Grüß die Klimakleber...
Das war ein Imperativ, oder?
Kari, pick [Dich an]! -
Hat jemand erforscht, inwiefern
SMTP Smuggling
(https://sec-consult.com/blog/d…oofing-e-mails-worldwide/) der aktuelle Grund, Postfix zu patchen und Cisco secure gateway korrekt zu konfigurieren, für Exim nicht zutrifft? Etwa weil exim sich an die RFCs hält?
-
Hat jemand erforscht, inwiefern
SMTP Smuggling
(https://sec-consult.com/blog/d…oofing-e-mails-worldwide/) der aktuelle Grund, Postfix zu patchen und Cisco secure gateway korrekt zu konfigurieren, für Exim nicht zutrifft? Etwa weil exim sich an die RFCs hält?
Wie kommst drauf, dass Exim nicht betroffen sein sollte? Postfix über SEC Consult (großartiger Talk übrigens am 37C3):
Days before a 10+ day holiday break and associated production change freeze, SEC Consult has published an email spoofing attack that involves a composition of email services with specific differences in the way they handle line endings other than <CR><LF>.
Unfortunately, criticial information provided by the researcher was not passed on to Postfix maintainers before publication of the attack, otherwise we would certainly have convinced SEC Consult to postpone publication until after people had a chance to update their Postfix or other affected systems.
The net result: a presumably unintended zero-day attack was published because some people weren't aware of the scope of the attack.
Technically, the attack explots END-OF-DATA confusion by sending <LF>.<LF> or <LF>.<CR><LF> instead of <CR><LF>.<CR><LF>. The vulnerability was introduced many decades ago in Sendmail, by allowing the non-standard <LF> line ending in addition to the standard <CR><LF>. For compatibility with programs that expect Sendmail behavior, the non-standard <LF> line ending was also allowed by other SMTP servers including Postfix and Exim.
-
der Quark ist hausgemacht;
wer kommt auch die Schwefelidee, auf unterschiedlichen Systemen unterschiedliche Zeichen(folgen) für Zeilenende zu verwenden;
3 Systeme 3 Möglichkeiten
CR
LF
CR+LF
wenn man den Urvater einer Programmiersprache kennt,
weiß der Geier wieso die Open-Source Community es unter Linux nicht gebacken bekommt
ANSI/ISO konform zu sein;
dass hier unter Linux ein Leerzeichen an Stelle der im Standard festgelegten neuen Zeile ausgegeben wird
ist wahrscheinlich der Grund von allen Übel;
wenn ich mich erinnere, ich hatte mal vor langer langer Zeit ein Programm gestrickt,
des mir irgendwelchen - nennen wir es Fraktale - generiert;
und ich hatte damals eine Graphikkarte, die war einfach nur genial¹,
die hatte 'nur' 2¼ MByte VideoRAM, aber konnte 1024x768 in TrueColor darstellen;
und jetzt kommts, es gibt im WinAPI eine Fkt. bei der man einfach ausrechnen kann,
wieviel Speicher man zum Speichern von Bitmaps allokieren muss;
mit dieser genialen Graphikkarte waren BMP-Files bis auf den File-Header exakt 25% kleiner
als heute; 24 bit vs 32 bit
das Programm läuft ohne Rekompilation auch heute noch;
¹ dass man der Graphikkartentreiber nur ein File mit 64 kByte war, ein positiver Side-Effekt
heute musst fast Angst haben, dir kollabiert die Platte/SSD bevor der Treiber vollständig gespeichert ist
-
Wie kommst drauf, dass Exim nicht betroffen sein sollte
Ich kann wohl nicht lesen, hast recht. Danke. Exim wurde im sec-consult.comm posting nicht so laut erwähnt wie Postfix.
Die gute Nachricht im Fall von exim:
Quelle: https://github.com/Exim/exim/b…oc/doc-txt/cve-2023-51766
-
Ich habe im SCP den Sicherheitsmodus aktiviert, wodurch die netcup SCP-App unbrauchbar wird. Eigentlich war mir das egal, aber tatsächlich hätte ich heute einen schnellen Restart eines Servers brauchen können. Einzige Möglichkeit diese wieder zu nutzten, ist allein die Deaktivierung des Sicherheitsmodus, richtig? Finde ich eher semi, da das SCP ja kein 2FA hat...
Schön wäre es, wenn man die IMEI im CCP hinterlegen könnte, und dann trotz Sicherheitsmodus die App nutzen kann... -
Das SCP macht sich im mobilen Browser auch ganz gut
-
Ich habe im SCP den Sicherheitsmodus aktiviert, wodurch die netcup SCP-App unbrauchbar wird. Eigentlich war mir das egal, aber tatsächlich hätte ich heute einen schnellen Restart eines Servers brauchen können. Einzige Möglichkeit diese wieder zu nutzten, ist allein die Deaktivierung des Sicherheitsmodus, richtig?
Nein, es gibt eine zweite Option: App Zugriff trotz Sicherheitsmodus
Screenshot 2024-01-02 at 00-04-03 SCP - Einstellungen (Optionen).png
-
Das SCP macht sich im mobilen Browser auch ganz gut
Leider funktioniert bei mit der Auto-Login nicht (iOS/Safari). Hatte mir dann extra wegen diesem akutem Problem Firefox auf meinem Smartphone installiert, mit selbem Problem. Auf die schnelle leider auch keine Lösung gefunden, vermutlich werden irgendwo neue Tabs geblockt - aber auf beiden Browsern?
Nein, es gibt eine zweite Option: App Zugriff trotz Sicherheitsmodus
Oh das muss ich mir die Tage gleich mal ansehen...
-
Das war ein Imperativ, oder?
Ja, was sonst?
-
Schön wäre es, wenn man die IMEI im CCP hinterlegen könnte
Und wie sollte eine Webseite die IMEI eines Handys abfragen können?
-
Leider funktioniert bei mit der Auto-Login nicht (iOS/Safari). Hatte mir dann extra wegen diesem akutem Problem Firefox auf meinem Smartphone installiert, mit selbem Problem. Auf die schnelle leider auch keine Lösung gefunden, vermutlich werden irgendwo neue Tabs geblockt - aber auf beiden Browsern?
Auf meinem iPhone klappt der Auto-Login. Kann mich nicht erinnern hier irgendwas Spezielles dafür konfiguriert zu haben. In den Einstellungen ist „Pop-Ups blockieren“ deaktiviert. Ich weiß aber nicht, ob das der Standardwert ist.
Firefox fürs iPhone ist auch nur Safari mit einem anderen Anstrich. Apple lässt keine anderen Browser zu.
Und wie sollte eine Webseite die IMEI eines Handys abfragen können?
In dem Fall geht es doch darum, dass die App die IMEI auslesen soll. Ob das jedoch möglich ist – keine Ahnung.
-
In dem Fall geht es doch darum, dass die App die IMEI auslesen soll. Ob das jedoch möglich ist – keine Ahnung.
ist die IMEI kritisch wenn sie in andere Hände fällt?
-
Firefox fürs iPhone ist auch nur Safari mit einem anderen Anstrich. Apple lässt keine anderen Browser zu.
Jain - andere Browser für iOS sind häufig schon etwas mehr als nur ein anderer „Anstrich“. Man kann ja zusätzliche Features integrieren wie die Synchronisation von Daten. Eine auswählbare Position für die Adressleiste hatte Firefox auch lange vor Safari. Aber die Engine ist gezwungenermaßen für alle Browser auf iOS die gleiche, was hier vermutlich relevant ist, und darauf wolltest du sicher hinaus.Glücklicherweise ändert sich das wohl in diesem Jahr dank der EU. Von Google und Mozilla weiß man bereits, dass sie im Stillen an einer iOS-Portierung ihrer Engine arbeiten. Und das ist großartig, selbst für diejenigen, die sich für Browser-Interna kein Stück interessieren, denn an der Engine hängt sehr viel mehr als nur Webkompatibilität dran. Beispielsweise diverse Datenschutz-Verbesserungen, die sich nicht ohne Zugriff auf die Engine umsetzen lassen. Und im Falle von Firefox deutet ein Kommentar eines Entwicklers, den ich vor ein paar Monaten gelesen hatte, an, dass auch Add-ons unterstützt werden. Firefox für Android unterstützt mittlerweile knapp 600 Erweiterungen, Tendenz aktuell immer noch steigend. Man stelle sich vor, die gibt es irgendwann auch alle für iOS. Ich rechne zwar nicht damit, dass direkt der erste Gecko-Firefox für iOS bereits Erweiterungen unterstützen wird, aber darauf wird es langfristig wohl hinauslaufen.