Hallo,
wenn ich in meinem öffentlich per apache o.ä. sichtbarem Verzeichnis eine recht belanglose index.html habe und eine weitere ganz_geheim.txt, kann dann jemand der den exakten Namen | Pfad nicht a priori kennt die "versteckte" Datei irgendwie ausfindig machen?
z.B. Anzeige in einer Dirlist, wildecards ...?
Angiffspunkte über sowas wie index.php sollten erstmal nicht gegeben sein. (index.html ist statisch)
???
Bernhard
Hi!
wenn ich in meinem öffentlich per apache o.ä. sichtbarem Verzeichnis eine recht belanglose index.html habe und eine weitere ganz_geheim.txt, kann dann jemand der den exakten Namen | Pfad nicht a priori kennt die "versteckte" Datei irgendwie ausfindig machen?
Wenn der Server sonst keine Lücken hat, nur per BruteForce.
Grüße, morphium
Bernhard Schiffner wrote:
Hallo,
wenn ich in meinem öffentlich per apache o.ä. sichtbarem Verzeichnis eine recht belanglose index.html habe und eine weitere ganz_geheim.txt, kann dann jemand der den exakten Namen | Pfad nicht a priori kennt die "versteckte" Datei irgendwie ausfindig machen?
Das kommt darauf an...
z.B. Anzeige in einer Dirlist, wildecards ...?
... ob z.B. dein apache zum Beispiel irgendwann mal fehlkonfiguriert wird und index.html aus dem DirectoryIndex fliegt...
Angiffspunkte über sowas wie index.php sollten erstmal nicht gegeben sein. (index.html ist statisch)
... oder inwieweit die Wissensträger die exakte URL dann zum Beispiel in den IRC pasten oder twittern.
Bernhard
Ciao, Thomas
Am Dienstag, 19. Oktober 2010, 14:00:14 schrieb Thomas Köhler:
Bernhard Schiffner wrote:
Hallo,
wenn ich in meinem öffentlich per apache o.ä. sichtbarem Verzeichnis eine recht belanglose index.html habe und eine weitere ganz_geheim.txt, kann dann jemand der den exakten Namen | Pfad nicht a priori kennt die "versteckte" Datei irgendwie ausfindig machen?
Das kommt darauf an...
z.B. Anzeige in einer Dirlist, wildecards ...?
... ob z.B. dein apache zum Beispiel irgendwann mal fehlkonfiguriert wird und index.html aus dem DirectoryIndex fliegt...
Genau. Das ist's wovor ich (etwas) Angst habe. chmod o-r index.html langt auch.
Angiffspunkte über sowas wie index.php sollten erstmal nicht gegeben sein. (index.html ist statisch)
... oder inwieweit die Wissensträger die exakte URL dann zum Beispiel in den IRC pasten oder twittern.
:-)
Ich mach's hauptsächlich um "Halbfremden" Daten zukommenzu lassen. (Port 80 HALT.) also eine Url ~myname/(some_random_alphanum)/ per Mail versendet sleep 400000 && rm -rf hinterher und wer nicht will hat schon.
Aber 5 Tage sind schon eine gewisse Expositionszeit. Deshalb meine Frage.
Bernhard
Ciao, Thomas
Bernhard Schiffner bernhard@schiffner-limbach.de (Di 19 Okt 2010 17:04:42 CEST):
Ich mach's hauptsächlich um "Halbfremden" Daten zukommenzu lassen. (Port 80 HALT.) also eine Url ~myname/(some_random_alphanum)/ per Mail versendet sleep 400000 && rm -rf hinterher und wer nicht will hat schon.
Aber 5 Tage sind schon eine gewisse Expositionszeit. Deshalb meine Frage.
Gucke mal nach
https://keller.schlittermann.de/hg/anon-upload
Das war mal für einen ähnlichen Zweck für den Eigenbedarf gebaut. Das Uploaden geht nur über HTTP-Auth, das Downloaden über einen statischen generierten Link. Eine Expire-Zeit ist festsetzbar, allerdings expiren die Files nur, falls der Upload-Link regelmäßig aufgerufen wird. (Ließe sich ja mit wget einrichten, alternativ könnte der Script so angepasst werden, daß er auch atjobs für die passende Zeit einrichtet.)
Wenn Du mit dem Script nicht klarkommst, müsste ich etwas Doku dazu schreiben (oder Du schreibst sie selbst, dann würde ich mich freuen :))
Zum Ausprobieren des Downloads: https://keller.schlittermann.de/d/a699f05c63d8f6e4f488dc45eb3528f336d7ba06-1...
Oder des Scriptes selbst
https://keller.schlittermann.de/ud
… dann Dein Nachname und der letzte Buchstabe eine Unix-ähnlichen Betriebssystems ☺
In 4 Wochen wird das ganze Ensemble gekillt.
Am Dienstag, 19. Oktober 2010, 23:13:28 schrieb Heiko Schlittermann:
Bernhard Schiffner bernhard@schiffner-limbach.de (Di 19 Okt 2010 17:04:42
CEST):
Ich mach's hauptsächlich um "Halbfremden" Daten zukommenzu lassen. (Port 80 HALT.) also eine Url ~myname/(some_random_alphanum)/ per Mail versendet sleep 400000 && rm -rf hinterher und wer nicht will hat schon.
Aber 5 Tage sind schon eine gewisse Expositionszeit. Deshalb meine Frage.
Gucke mal nach
https://keller.schlittermann.de/hg/anon-uploadDas war mal für einen ähnlichen Zweck für den Eigenbedarf gebaut. Das Uploaden geht nur über HTTP-Auth, das Downloaden über einen statischen generierten Link. Eine Expire-Zeit ist festsetzbar, allerdings expiren die Files nur, falls der Upload-Link regelmäßig aufgerufen wird. (Ließe sich ja mit wget einrichten, alternativ könnte der Script so angepasst werden, daß er auch atjobs für die passende Zeit einrichtet.)
Wenn Du mit dem Script nicht klarkommst, müsste ich etwas Doku dazu schreiben (oder Du schreibst sie selbst, dann würde ich mich freuen :))
Zum Ausprobieren des Downloads: https://keller.schlittermann.de/d/a699f05c63d8f6e4f488dc45eb3528f336d7ba06- 1288385106/20090601-064415.jpg
Oder des Scriptes selbst
https://keller.schlittermann.de/ud… dann Dein Nachname und der letzte Buchstabe eine Unix-ähnlichen Betriebssystems ☺
In 4 Wochen wird das ganze Ensemble gekillt.
Gute Idee. Das interessiert mich auch, obwohl ich aktuell kein Upload brauche. Das Script finde ich aber unter dem letzten URL nicht. Nur ein zweites Bild ...
Bernhard
Gute Idee. Das interessiert mich auch, obwohl ich aktuell kein Upload brauche. Das Script finde ich aber unter dem letzten URL nicht. Nur ein zweites Bild ...
Sind ja auch drei Links - nimm einfach den ersten ;) https://keller.schlittermann.de/hg/anon-upload
Bernhard Schiffner wrote:
Ich mach's hauptsächlich um "Halbfremden" Daten zukommenzu lassen. (Port 80 HALT.) also eine Url ~myname/(some_random_alphanum)/ per Mail versendet sleep 400000 && rm -rf hinterher und wer nicht will hat schon.
Für genau diese Anwendungszwecke habe ich letztens eine Webapp gebaut: http://noatta.ch/
Allerdings speichert hier der Server nichts zwischen, sondern leitet nur weiter. Damit muss der Hochladende das Browser-Tab offen lassen.
Am Tue, 19 Oct 2010 13:32:20 +0200 schrieb Bernhard Schiffner bernhard@schiffner-limbach.de:
Hallo,
z.B. Anzeige in einer Dirlist, wildecards ...?
es gibt ein httpd-Plugin (im Speziellen eben wohl auch für Apache), dessen Name mir zwar grad nicht einfällt, aber der Sinn ist, dass der User sich etwas verschreiben kann und trotzdem das richtige(?!) Dokument ausgeliefert wird. Das vergrößert natürlich die Angriffsfläche für Brute-Force-Angriffe erheblich.
Carsten
Hallo,
Von: "Carsten Weber" info@carwe.de
es gibt ein httpd-Plugin (im Speziellen eben wohl auch für Apache), dessen Name mir zwar grad nicht einfällt, aber der Sinn ist, dass der User sich etwas verschreiben kann und trotzdem das richtige(?!) Dokument ausgeliefert wird.
Du meinst mod_speling. Ja, so wird das geschrieben.
Holger ___________________________________________________________ WEB.DE DSL Doppel-Flat ab 19,99 €/mtl.! Jetzt auch mit gratis Notebook-Flat! http://produkte.web.de/go/DSL_Doppel_Flatrate/2
Hallo Bernhard,
ist der Indianer ordentlich konfiguriert und mod_spelling nicht installiert, kann der Finder dieser Datei auch Lotto spielen. Ganz sicher gehen kannst du nur, indem du die geheim.txt nach ~/ verschiebst.
Ich würde sowas mit https+HTTP-Auth lösen.
Grüße,
Falk
Zitat von Bernhard Schiffner bernhard@schiffner-limbach.de:
Hallo,
wenn ich in meinem öffentlich per apache o.ä. sichtbarem Verzeichnis eine recht belanglose index.html habe und eine weitere ganz_geheim.txt, kann dann jemand der den exakten Namen | Pfad nicht a priori kennt die "versteckte" Datei irgendwie ausfindig machen?
z.B. Anzeige in einer Dirlist, wildecards ...?
Angiffspunkte über sowas wie index.php sollten erstmal nicht gegeben sein. (index.html ist statisch)
???
Bernhard
Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Am Dienstag, 19. Oktober 2010, 17:02:42 schrieb falk.doering@fadoe.de:
Hallo Bernhard,
ist der Indianer ordentlich konfiguriert und mod_spelling nicht installiert, kann der Finder dieser Datei auch Lotto spielen. Ganz sicher gehen kannst du nur, indem du die geheim.txt nach ~/ verschiebst.
Verstehe ich nicht ganz. Ich habe zwar keinen Indianer laufen, sondern was leichtes. Der betreut einen normalen Server auf diesem Host und hat u.a. dirlisting und userdir als Module. An ~/ will ich einen Halbfremden nicht ranlassen (ist ja meins) und es wird ja auch nicht per lighty angezeigt. ganz_geheim.txt ist ja (nur) für ihn bestimmt, im Gegensatz zu z.B. "wirklich_ganz_geheim.txt", was z.B. für Dich gedacht wäre.
Was meinst Du also?
Ich würde sowas mit https+HTTP-Auth lösen.
Gewiss möglich. Mir ist das etwas zuviel Aufwand für den "Halbfremden". Er müßte ja das Zertifakt kontrollieren (können), ich müßte per (unverschlüsselter) Mail ihm auch noch account-Daten schicken etc.
Grüße,
Falk
Bernhard
2010/10/20 Bernhard Schiffner bernhard@schiffner-limbach.de:
Er müßte ja das Zertifakt kontrollieren (können), ich müßte per (unverschlüsselter) Mail ihm auch noch account-Daten schicken etc.
Den 'geheimen' Namen der Datei musst du ihm im Originalszenario sowieso schicken oder soll der Name leicht zu erraten sein? :)
Der Klassiker ist aber asymmetrische Verschlüsselung mit gnupg.
Viele Grüße, Torsten
Am Mittwoch, 20. Oktober 2010, 09:45:43 schrieb Torsten Werner:
2010/10/20 Bernhard Schiffner bernhard@schiffner-limbach.de:
Er müßte ja das Zertifakt kontrollieren (können), ich müßte per (unverschlüsselter) Mail ihm auch noch account-Daten schicken etc.
Den 'geheimen' Namen der Datei musst du ihm im Originalszenario sowieso schicken oder soll der Name leicht zu erraten sein? :)
Ja. Also bleibt sich's gleich, wo die Lücke ist.
Der Klassiker ist aber asymmetrische Verschlüsselung mit gnupg.
Po Prinzipie, da. Da ich faul bin, habe ich z.B. z.Z. keinen öffentlichen Schlüssel (werde ich wohl gleich ändern) und mache deshalb gerne sowas wie gpg -c Passphrase=<Name von Witwe Boltes Hund> für Leute mit wenigstens ein bisschen Ahnung. :-)
Viele Grüße, Torsten
Bernhard
Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Bernhard Schiffner schrieb:
Ich würde sowas mit https+HTTP-Auth lösen.
Gewiss möglich. Mir ist das etwas zuviel Aufwand für den "Halbfremden". Er müßte ja das Zertifakt kontrollieren (können), ich müßte per (unverschlüsselter) Mail ihm auch noch account-Daten schicken etc.
Klitzekleines php script geschrieben das $_GET auswertet (username/pw) und du brauchst ihm nur noch den link incl. den GET-Parametern schicken (wie den downloadlink ja auch). Vortei: nach einmaligem betrachten kann der Inhalt sich auch selbst entfernen.
Grüße
lug-dd@mailman.schlittermann.de
-
Bernhard Schiffner -
Carsten Weber -
falk.doering@fadoe.de -
Heiko Schlittermann -
Holger Dietze -
morphium -
Robert -
Stephan Maka -
Thomas Köhler -
Torsten Werner