Wie gefaehrlich ist das mit Cookies bei Mozilla und Konqueror?
Aus Browser senden Cookies an falsche Server - http://www.heise.de/newsticker/meldung/51195 "Nach Angaben der Sicherheitsspezialisten des Dienstleisters Westpoint senden die Browser Internet Explorer, Mozilla und Konqueror auf dem System gespeicherte Cookies unter bestimmten Umständen an den falschen Server. Angreifer können mit präparierten Webservern so möglicherweise eigene Cookies in bereits bestehender Verbindungen des Opfers einschleusen. Eine darin gespeicherte Session-ID kann dann fälschlicherweise zur Authentifizierung verwendet werden. Da der Angreifer diese ID ebenfalls kennt, kann er ohne Authentifizierung beispielsweise auf Webmail-Konten und andere Online-Dienste zugreifen." Gibt es einen Bugfix und gibt es bereits in der Praxis entstandenen Schaden? Al
Am Samstag, 18. September 2004 16:02 schrieb Al Bogner:
Aus Browser senden Cookies an falsche Server - http://www.heise.de/newsticker/meldung/51195
lies die kommentare. 1. is der fehler uralt. 2. is er in aktuellen versionen vom konqueror gefixt. bye, MH
Am Samstag, 18. September 2004 16:27 schrieb Mathias Homann:
Am Samstag, 18. September 2004 16:02 schrieb Al Bogner:
Aus Browser senden Cookies an falsche Server - http://www.heise.de/newsticker/meldung/51195
lies die kommentare. 1. is der fehler uralt.
Es stand bei Heise etwas von _Update_
2. is er in aktuellen versionen vom konqueror gefixt.
Da mir in letzter Zeit kein KDE/Konqueror-Update auffiel, ging ich davon aus, dass das Problem aktuell ist. Meldet Heise nun "Schnee von gestern"? Al
Am Samstag, 18. September 2004 16:50 schrieb Al Bogner:
Am Samstag, 18. September 2004 16:27 schrieb Mathias Homann:
Am Samstag, 18. September 2004 16:02 schrieb Al Bogner:
Aus Browser senden Cookies an falsche Server - http://www.heise.de/newsticker/meldung/51195
lies die kommentare. 1. is der fehler uralt.
Es stand bei Heise etwas von _Update_
2. is er in aktuellen versionen vom konqueror gefixt.
Da mir in letzter Zeit kein KDE/Konqueror-Update auffiel, ging ich davon aus, dass das Problem aktuell ist. Meldet Heise nun "Schnee von gestern"?
nein, aber die komische firma die den fehler gefunden haben will. lies den report. getestet mit konqueror aus kde 3.1.4... aktuell ist 3.3.0... und da ist das seit langem gefixt. bye, MH
Am Samstag, 18. September 2004 17:04 schrieb Mathias Homann:
Am Samstag, 18. September 2004 16:50 schrieb Al Bogner:
Am Samstag, 18. September 2004 16:27 schrieb Mathias Homann:
Am Samstag, 18. September 2004 16:02 schrieb Al Bogner:
Aus Browser senden Cookies an falsche Server - http://www.heise.de/newsticker/meldung/51195
lies die kommentare. 1. is der fehler uralt.
Es stand bei Heise etwas von _Update_
2. is er in aktuellen versionen vom konqueror gefixt.
Da mir in letzter Zeit kein KDE/Konqueror-Update auffiel, ging ich davon aus, dass das Problem aktuell ist. Meldet Heise nun "Schnee von gestern"?
nein, aber die komische firma die den fehler gefunden haben will. lies den report. getestet mit konqueror aus kde 3.1.4... aktuell ist 3.3.0... und da ist das seit langem gefixt.
Original bei SuSE 9.0 ist KDE 3.1.4 Nicht alle haben ihren KDE auf 3.3.0 ge-uptdated. Das Problem ist also _so_ nicht Schnee von gestern. lg, Andreas.
Hallo Al, hallo Leute, Am Samstag, 18. September 2004 16:02 schrieb Al Bogner:
Aus Browser senden Cookies an falsche Server - http://www.heise.de/newsticker/meldung/51195 [Browser sendet Cookies an falsche Server] Gibt es einen Bugfix [...] ?
Das solltest Du eigentlich selbst wissen ;-) Oder hast Du suse-security-announce nicht abboniert? Aus dem SuSE-security-announce vom Freitag (SUSE-SA:2004:034): | - konqueror | Westpoint notified us about a cookie stealing problem in various web- | browsers (http://www.westpoint.ltd.uk/advisories/wp-04-0001.txt). | The already available kdelibs3 packages (announced in | SUSE-SA:2004:026) include patches for this vulnerability. Konqueror ist also schon längst gefixt (vorausgesetzt, Du hast die aktuellen YOU-Updates eingespielt). Außerdem: | Other browsers (Mozilla, Opera, ...) will be updated as soon as | possible. Gruß Christian Boltz -- The speed at which a mistyped command executes is directly proportional to the amount of damage done. [Joe Zeff]
Am Sonntag, 19. September 2004 15:55 schrieb Christian Boltz:
Gibt es einen Bugfix [...] ?
Das solltest Du eigentlich selbst wissen ;-) Oder hast Du suse-security-announce nicht abboniert?
Oops, das Mail habe ich nach Problemen mit dem Mailserver übersehen. Verdammte Kiste, nun läuft sie seit einigen Tagen wieder fehlerfrei, ohne, dass ich was geändert habe. Im Bios habe ich das 2. (übeflüssige) CD-ROM auf "none" gestellt und nun hängt das Ding beim Hochfahren hier längere Zeit: <4>hdd: no response (status = 0x80), resetting drive <4>hdd: no response (status = 0x80) Bedeutet das, dass Linux das Bios ignoriert und das Laufwerk zu initialisieren versucht, weil es bei der Installation mitverwendet wurde? Stecke ich besser das Kabel vom CD-ROM ab? Al
participants (4)
-
Al Bogner -
Andreas Scherer -
Christian Boltz -
Mathias Homann