hallo herr preuß,
Guten Morgen,
können Sie Ihre Aussagen fundiert begründen? Zuerst meinten Sie die Passwörter könnten in kurzer Zeit via Bruteforce erraten werden. Jetzt schreiben Sie den oben zitierten Satz. Wie kommen Sie denn auf diesen Aussagen?
vermutungen haben keine begründungen, denn es sind vermutungen. mit begründung wären es behauptungen.
ich dachte das betont zu haben. vermutungen gehören m.e. erstmal eher in den bereich smalltalk/gedankenaustausch/verschwörungstheorie.
auch war es umgekehrt. aus meiner eigenen erfahrung vermutete ich als erstes eine bisher nicht ausgenutzte lücke in froxlor, da der aus china gehackte server bei mir selbst mit dem froxlor image auftrat.
habe ich nicht weiter verfolgt, da ich danach den server einfach mit dem minimalimage überbügelt und das ssh logon entsprechend abgesichert habe, sowie froxlor nicht einsetze.
an den support meldete ich dies ausschließlich als information und ausdrücklich NICHT als supportanfrage (wie oft heißt es sonst "wieso hast du denn nix gesagt"...).
als ich nun die frage des threaderstellers las, kam mir das ganze bekannt vor und ich habe meine vermutung, daß es auch hier ein hack aus china sein könnte, im forum geäußert.
diese vermutung hat sich dann ja scheints bewahrheitet.
die aussage des threaderstellers, daß er nicht froxlor sondern das minimal image benutze, ließ meine vermutung in die richtung passwortgenerator umschwenken, da ja im minimalimage außer ssh mit passwortauth kaum ein sonstiger einhackpunkt gegeben ist. bewiesen ist hier natürlich auch nichts, denn wenn ich dafür beweise hätte, hätte ich das ganze ja längst mit begründung an den support gemeldet, damit das behoben werden kann.
seit den aussagen von oliver.d geht es von meiner seite eh nurnoch um smalltalk und um kein ernstzunehmendes thema mehr...
Zitat
Das Image welches wir mit Froxlor ausliefern haben wir in der aktuellen Version bereits mehr als 10.000 mal ausgeliefert. Was meinen Sie was passiert, wenn hier eine bekannte und leicht ausnutzbare Sicherheitslücke vorhanden wäre?
nunja, wenn es wirklich eine lücke gibt, so ist sie ja bisher offensichtlich allenfalls wenigen chinesen bekannt. ob sie dann auch noch leicht auszunutzen ist, bleibt dann ebenfalls abzuwarten. ich denke 2 auf ihren images basierende server die auf mutmaßlich demselben weg, von mutmaßlich derselben stelle gehackt wurden, sind da noch kein großes alarmzeichen. aber jedes leck beginnt mal mit ersten, zaghaften vermutungen.
ihnen ist ja die vermutung jetzt gewahr und wenn es, so unwahrscheinlich es ist, irgendwann gehäuft zu solchen vorkommnissen kommen sollte, so werden sie sich sicher rechtzeitig erinnern und auch an dieser stelle suchen...
gruß
jay