menü

kategorien
bilderalben
referrer
meistgelesene beiträge
einloggen

status

online seit 2798 tagen
letztes update am
28. November, 15:45

kalender

Juli 2005
Mo
Di
Mi
Do
Fr
Sa
So
 
 
 
 
 1 
 2 
 3 
 4 
 5 
 6 
 7 
 8 
 9 
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
Juni
 
August

aktuelles

Ich lebe noch!
nighthawk - 28.11. 15:45
weiter so!
asco - 14.11. 14:09
Nach langer Zeit ...
nighthawk - 05.10. 01:09
Lösungen vom draufgucken
nighthawk - 27.02. 23:30
Mal 'was neues
nighthawk - 26.01. 23:29

historisches

suche

 

buttonmania

xml version of this page

paRSS - Feews! for the rest of us

SORUA enabled

startseite > einträge > SORUA ist da

Dienstag, 12. Juli 2005

SORUA ist da


es laeuft!
ich habe dann auch gleich mal ein paar sorua authentifizierungsserver in die liste aufgenommen.. man kann hier also nun auch kommentieren, wenn man einen user bei antville.org, asconet.org, blogger.de, blogs.23.nu, typekey.com, twoday.net, twoday.ac.tu-wien.at oder weblogs.at hat. :)
ausserdem hab ich nochn kleinen button gemacht (farblich an das sorua.net layout angelehnt) und unten rechts eingebaut.. :)
wer sonst noch einen sorua authserver hat und hier kommentieren koennen moechte.. einfach den virtuellen finger heben.
geschrieben am 12. Juli, 19:02 in · 1142x gelesen
6 kommentare · kommentieren

kommentare

Vorsicht! antville.org, asconet.org, blogs.23.nu und weblogs.at unterstützen derzeit allesamt eine veraltete "unsichere" Version des Protokolls. Auf antville.org, bzw weblogs.at sollte es aber bald eine aktuelle Version geben. "Unsicher" in der Hinsicht, dass es theoretische Szenarien gibt, bei welchen sich ein Angreifer dann als asconet.org:fabe ausgibt, obwohl er das gar nicht ist (und *nicht* in dem Sinne dass man Aktionen unberechtigterweise auf dem asconet.org-Server ausführen dürfte).
twoday.net:michi - 12. Juli, 21:29
antworten

das risiko gehe ich mal einfach ein.. ich habe in euren diskussionen (ich weiss leider nicht mehr wo) auch gelesen, dass es da theoretische angriffsszenarien gibt.. wer wirklich rein wollte koennte auch diesen direkten link, den du auf sorua.net in dem sandbox posting angegeben hast, benutzen und seinen eigenen server "emulieren".. oder sich schlicht und einfach hier registrieren ;)
da sage ich mal "service first".. die dienste, die es anbieten, trage ich auch ein.. so endlos viele sind es ja noch nicht und es tut der verbreitung von sorua sicherlich keinen abbruch.. :)
nighthawk - 12. Juli, 21:40
antworten

Die theoretischen Angriffs- Täuschungs-szenarien sind in der aktuellen Version nicht mehr möglich. Eigenen einen Server emulieren entspräche ja einen eigenen UserServer quasi aufsetzen, was ja ok ist. Es ist mit einem solchen Server nicht möglich sich als life.winter.cd:nighthawk auszugeben. Das geht nur über deinen UserServer dann.
twoday.net:michi - 12. Juli, 22:43
antworten

naja.. ich werde das auf jeden fall im auge behalten.. is ja nich so, dass ich hier nur 1x/woche vorbeischaue.. treibt einer unsinn mit den unsicheren servern, werde ich die eben rausnehmen (und je nach bedarf ne blacklist in die soruafunktionen einbauen).. ich habe ohnehin die leise hoffnung, dass diese betreiber bald auf das neuere sorua umsteigen.. aber gerade einen grossen service, wie antville.org, wuerde ich ungern aussenvor lassen..
und zudem: nur, weil ich die nicht in der liste habe, heisst das ja nicht, dass man die sicherheitsluecke nicht ausnutzen kann (wenn ich das richtig ueberblicke).. die muessen bei der schummelei eben nur noch einen parameter mehr umbiegen.. naemlich den, der meinem server hier mitteilt, wo er nach der authorisierung zu fragen hat - was ja ganz simpel im formular uebergeben wird..
nighthawk - 12. Juli, 22:54
antworten

ahhh... es geht :)
karsten - 12. Juli, 22:11
antworten

ja.. betriebsblindheit.. nurnoch getestet, ob man sich per sorua anmelden kann und ueberhaupt nicht bemerkt, dass die normalen user nicht mehr reinkamen.. das waer mir aber spaetestens zuhause aufgefallen, denn hier muss ich mich dann ja auch einmal anmelden :)
nighthawk - 12. Juli, 22:22
antworten

backlinks


um missbrauch zu vermeiden werden die backlinks mit einem clientseitig laufenden javascript dargestellt. falls javascript abgeschaltet ist sieht man diesen text.