Logo

Aktuelles

Folgende Themen gibt es.

09.02.2017, 21:53

password2go bei car2go

Bei meiner Anmeldung bei car2go lief erstmal alles glatt. Die Registrierung ging schnell, der Führerschein war schnell verifiziert, so dass es nun schnell losgehen konnte.

Komisch: Die car2go-App wollte mein Kennwort nicht akzeptieren. Ich generiere meine Kennwörter mit Hilfe eines Browser-Plugins, welches bisher einwandfrei funktionierte. Auf mehreren PCs funktionierte das Login bei car2go mit diesem generierten Kennwort, nur in der Android-App wollte es nicht. Das machte mich neugierig und ich fing an zu forschen.

Im Firebug sieht man, dass nach Abschicken der Loginmaske ein POST-Request zu
https://www.car2go.com/cuba/customer/login/own/status/jsecuritycheck
geschickt wird. Dieser enthielt als j_password den Inhalt "ABCDEFGHIJK". Das kann doch nicht mein Kennwort sein? Schnell geprüft: Das Plugin generiert ein völlig anderes Kennwort. Und jetzt hab ich einfach mal "ABCDEFGHIJK" als Kennwort händisch benutzt und... es funktionierte! Das kann doch wohl nicht wahr sein.

Die Ursache ist vermutlich wie folgt: Das Plugin sperrt den Zugriff auf das Input-Feld mit dem Kennwort, jedoch versucht ein Javascript von car2go, das Kennwort zu lesen und nimmt dann als Fallback für den ersten Buchstaben "A", für den 2. "B" und so weiter. Die Anzahl der Buchstaben entsprach auch der Länge meines "echten" Kennwortes.

Wer sich also ein sicheres Kennwort generiert, speichert bei car2go unwissentlich ein ziemlich unsicheres auf dem Server ab. Das ist eine Sicherheitslücke und zeigt wieder mal, dass es Anwendungen grundsätzlich untersagt sein sollte, per Javascript auf Input-Felder vom Typ "password" zuzugreifen.

15.02.2017, 00:02

Ein Passwort muss 8 stellen haben

Ein Passwort muss 8 Stellen haben! Jedenfalls bei Lüftungsanlagen der Firma Helios.

Ich habe eine Helios EC450 Lüftungsanlage. Dieser Anlagentyp ist mit einem Webserver ausgestattet, der es erlaubt, die Lüftung über ein Webinterface zu steuern.

Das voreingestellte Benutzerkennwort ist "helios" und lässt sich ändern. Das neue Kennwort muss aber zwingend 8 Zeichen enthalten. WTF? Sicherheitstechnisch ist das ein unnötiges Risiko, da ein möglicher Angreifer schon mal die Länge des Kennwortes weiß. Die Sicherheit von Smart Homes war in letztes Zeit immer wieder in der Presse und es sind immer wieder dieses amateurmäßigen Implementierungen, die Löcher aufreißen.

Die Länge des Kennwortes wird aber nur per Javascript geprüft. Man kann also einen Breakpoint in die Methode lenpass(field, minlength, maxlength) setzen und die Variable maxlength von 8 auf 100 erhöhen :) Für Nicht-Softwareentwickler garnicht so einfach. Es bleibt fraglich, was sich die Entwickler dabei gedacht haben.

Es gibt auch einen Account für "Servicetechniker". Das erfährt man aber nur, wenn man sich durch die Bedienungsanleitung wühlt. Eine Benuterverwaltung existiert nicht.

"Für die Erstinbetriebnahme ist das Servicetechniker-Login Passwort !helios! einzutragen.
Bei Bedarf kann das Passwort nachträglich geändert werden."

Auch dieses Kennwort sollte man tunlichst ändern!

Ich würde ja Helios auch direkt fragen, aber es gibt keine Support-E-Mail-Adresse auf der Webseite.

15.08.2017, 21:56

Umstellung auf IPv6

IPv4-Adressen sind endlich und bereits jetzt Mangelware. Da der Nachfolger IPv6 bereits seit langem propagiert wird, ist es nun an der Zeit, meinen Server dafür fit zu machen. Aber was muss man dafür alles tun?

Erweiterung Netzwerkinterface

Das Netzwerkinterface muss in /etc/network/interfaces entsprechend erweitert werden, hier am Beispiel mit einem 64 Bit großem Netzwerk.

auto venet0

iface venet0 inet6 static
address ::2
netmask 64
up ip -6 r a default dev venet0
up ip addr add 2a01::a1/64 dev venet0

oder

iface eth0 inet6 static
address 2a01::a1/64
netmask 64
gateway 2a01::1/64

Umstellung Apache Webserver

Hier ist rein garnichts zu tun.

DNS

Hier wartet schon etwas mehr Arbeit. Zuerst muss in den Zonefiles neben dem A auch ein AAAA-Record mit der IPv6-Adresse ergänzt werden:

www                   IN A     85.214.76.132
www IN AAAA 2a01:238:43b1:5800:8b3:855e:7f32:cb19

In der Konfiguration des BIND9 müssen folgende Optionen gesetzt sein:

options {
// ...
query-source-v6 address 2a01:238:43b1:5800:8b3:855e:7f32:cb19 port 53;
listen-on-v6 { any; };
allow-query { 0.0.0.0/0; ::/0; };
};

Anschließend kann man prüfen, ob die IPv6-Adresse aufgelöst wird:

# dig -6 @::1 -t aaaa www.jandankert.de
...
;; ANSWER SECTION:
www.jandankert.de. 7200 IN AAAA 2a01:238:43b1:5800:8b3:855e:7f32:cb19
...
Erklärung: Mit "-6" wird IPv6 verwendet, "-t aaaa" ruft den IPv6-Eintrag ab, "@
1" befragt den DNS auf dem lokalen Host via IPv6-Loopback-Interface.

Testen

Mit netstat kann man nachschauen, ob die Dienste mit IPv6 horchen:

# netstat -anop|grep LISTEN|grep dovecot
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 10882/dovecot aus (0.00/0/0)
tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 10882/dovecot aus (0.00/0/0)
tcp 0 0 0.0.0.0:993 0.0.0.0:* LISTEN 10882/dovecot aus (0.00/0/0)
tcp 0 0 0.0.0.0:995 0.0.0.0:* LISTEN 10882/dovecot aus (0.00/0/0)
tcp6 0 0 :::110 :::* LISTEN 10882/dovecot aus (0.00/0/0)
tcp6 0 0 :::143 :::* LISTEN 10882/dovecot aus (0.00/0/0)
tcp6 0 0 :::993 :::* LISTEN 10882/dovecot aus (0.00/0/0)
tcp6 0 0 :::995 :::* LISTEN 10882/dovecot aus (0.00/0/0)

Hier sieht man, dass der Dovecot auf IPv6 am Port 110 horcht.

Viel Erfolg!



11.05.2009, 22:00
Kommentare:



Mobil:
Diese Seite in der mobil-Version
Was geht:
Bier
IT-News
E-Mail

Projekte:
Content-Management

Valid HTML 4.01!