Suchergebnisse

Hallo, ich habe eine Sicherheitslücke in 3 Browsern gefunden(Safari, Firefox u Edge). Da dieses meine erste größere Sicherheitslücke ist(davor eher kleineres: Injections in Webseiten, etc) habe ich eine paar Fragen: 1. Ich habe jetzt nur für den Firefox ein Bugbounty Programm gefunden, gibt es auch für die anderen zwei Browser Webseiten wo ich die Sicherheitslücke dem Hersteller melden kann? 2. Da es drei Browser sind, wie kann ich am Besten sicherstellen, dass kein Hersteller die Sicherheitslüc…

Es ist eine Lücke. Die mehr oder weniger schwer ist, sonst würd ich hier nich fragen. Mehr Informationen veröfftlich ich aber erst nach dem Fix. Edit: Mist nicht aktualisiert. Danke @KidRick werde mir die Links anschauen Lg Mokki

Zitat von Marcus Gräfe: „integrierte Feedback-Funktion“ Auch eine gute Idee. ​Zitat von Marcus Gräfe: „für einen öffentlichen Bugtracker“ ​Ich werde mir einfach die FQAs usw der Webseiten durchlesen, wenn ich mir bei etwas nicht sicher bin (weil ich denke es könnte für die Öffentlichkeit sichtbar sein) werde ich mich nochmal hier melden und fragen. Lg Mokki

Zitat von EaranMaleasi: „Microsoft geben afaik immer Geld“ Naja es gab zwar ein Bugbounty Programm für den Edge. Dieses war aber nur für die Preversion und lief vor einem Jahr aus. es gibt jetzt eben noch den Issues Tracker, aber da hab ich keine Ahnung wie/wann die Bugs/Lücken veröffentlicht werden(darüber muss ich mich noch schlau machen) Zitat von ichduersie: „Chrome oder Safari“ * Browser (OS) * Funktioniert * Chrome (OSX) * nein * Opera (OSX) * nein * Safari (OSX) * ja * Edge (Win 10) * ja …

Zitat von Marcus Gräfe: „also was bringt das Injecten von JS-Code“ jmd kann viele tolle cookies damit von einem Client auf seinen Server ziehen und sie dann genüsslich verspeisen. Ok Spaß beiseite: Ich kann dann jeglichen Code auf einer Webseite ausfüllen, wenn der Client dort angemeldet ist seine Session stehlen (höchstens die is mit ner Ip verknüpft) etc. Zitat von Niko Ortner: „wenn Du uns hier auf dem Laufenden halten würdest“ Mach ich Zitat von Niko Ortner: „Bin für solche Sachen immer sehr…

Halt mich nur an das was ich denke und an das was ich eben finde: wiki.mozilla.org/WebAppSec/Web_App_Severity_Ratings in dem Fall wäre es sec-high. Und zu Noscript: Per Default ist es schon knackbar. Deshalb: benutzt sowas und andere Dinge nur dann, wenn ihr au wisst was ihr tut, sonst fühlt ihr euch zu Unrecht sicherer. Lg Mokki

Jo ich meint die Whitelist. (Jetzt aber genug OT) Ich werd soweit immer mal wieder posten wenn ich sie gemeldet hab, sie gefix wurde etc @Marcus Gräfe Darf ich den Code nach dem Fix hier posten, oder verstöst des gegen die Boardregeln? Lg Mokki

Zitat von Marcus Gräfe: „Ich wüsste nichts, was dagegen sprechen sollte.“ Ok gut. Lg Mokki

Ok, Bug wurde soeben an Mozilla reportet . Danke nochmal für alle Link usw. Lg Mokki

Hab vor lauter in Urlaub fahren vergessen euch auf den neusten Stand zu bringen, sry. Zitat von Niko Ortner: „wie sieht's aus“ Nich sehr gut. Es scheint so als sei das ganze nicht reproduzierbar. Obwohl ich es in einem neuen Profil getestet hab. War also sehr gut deinen Rat zu befolgen und es nur Mozilla gemeldet habt.Zitat von Niko Ortner: „Wenn sich dann rausstellt, dass es doch nicht so schlimm ist, hast Du nicht gleich 10 Unternehmen gleichzeitig an der Backe“ Lg Mokki

Hät ich wohl machen sollen. Verschiede System, verschiedene Netzwerke etc.... Lg Mokki

Sodele ich hab es nicht geschafft herauszufinden warum sich das Ganze nur auf meinem Rechner so verhält... bei Tests in Safari ist mir aber aufgefallen, dass file:// mit allem same orgin ist. Es gibt auch andere Urlschemes bei dennen es sich ähnlich verhält. Ich dacht ich hät die Lück gefunden: Html Dok per Email -> Cookiestealer.... dies ist aber nicht der Fall. Sobald ich ein Htmldokument öffne was ich mir per Mail geschickt hatte funktionierte der Code nicht mehr. Am Speicherort liegt dies ni…

Ne ich hatte es auf nem Mac getestet... Lg Mokki