![[HaBo]](/styles/default/logoklein.png){kind=small}
Daten im I-Explorer
- Themenstarter sTEk
- Beginndatum
Guten Abend
aaaahhhh was ist das denn? Sehr interessante Site. Wie zum kuckkuck kommen die an die Daten/Ordner der Festplatten? Über Cookies geht sowas doch nicht oder?
Sowas was ich dort gesehen habe dürfte doch nur so gehen das dies script einen Port öffnet ( aber welchen? der 80 ist doch meistens sowieso aktiv) und wie können die so schnell die Daten darstellen . ?(
Bin ja gespannt was ihr so dazu sagt.
@sTEK
Wolltest Du uns damit schocken oder wie hast Du die Site gefunden *erschreck*
Gruss Stefan
aaaahhhh was ist das denn? Sehr interessante Site. Wie zum kuckkuck kommen die an die Daten/Ordner der Festplatten? Über Cookies geht sowas doch nicht oder?
Sowas was ich dort gesehen habe dürfte doch nur so gehen das dies script einen Port öffnet ( aber welchen? der 80 ist doch meistens sowieso aktiv) und wie können die so schnell die Daten darstellen . ?(
Bin ja gespannt was ihr so dazu sagt.
@sTEK
Wolltest Du uns damit schocken oder wie hast Du die Site gefunden *erschreck*
Gruss Stefan
bin mir zwar nicht sicher, wie das in diesem fall funktioniert, aber erstell mal ne html datei mit folgendem link: <a href="">link</a>
wenn du da draufklickst, siehst du deinen arbeitsplatz. dass jetzt nur noch in einen frame gepackt und auf das laufwerk c: gestellt. fertig.
gruß thomas.
wenn du da draufklickst, siehst du deinen arbeitsplatz. dass jetzt nur noch in einen frame gepackt und auf das laufwerk c: gestellt. fertig.
gruß thomas.
Nabend's
Sowas nennt sich Active Scripting. Es wird mit Hilfe eines HTML-Befehls oder einer Scriptsprache (z.B. JavaScript, VBScript, ...) ein ActiveX-Objekt beim Benutzer erzeugt. Ein ganz normaler Vorgang im M$-WWW.
Ausspähen ist IMHO so aber nicht ohne weiteres möglich. Die so ermittelten Daten können normalerweise nur per HTTP (als Link-Parameter, bla.html?id=.....) oder per Form (z.B. an ein CGI-Script oder ne Mail-Addy) übertragen werden. Somit ist weitere Benutzerinteraktion nötig.
Vorausgesetzt das sich kein Trojaner oder ähnliches vorher oder dabei eingenistet hat (wie hieß der Server-Wurm doch gleich ?( ), dann aber ist es eh schon zu spät
Btw, deaktivieren läßt sich das in den 'Internetoptionen', Unter Sicherheit für die jeweilige Zone die 'Stufe anpassen', die Unterpunkte von 'ActiveX-Steuerelemente und Plugins'. Dort könnt ihr ja mal spasseshalber alles auf 'Eingabeaufforderung' stellen und eure Lieblingsseiten absurfen ( aber nur wenn ihr keinen müden Mausfinger habt
).
Cya,
- Bit'chen
Sowas nennt sich Active Scripting. Es wird mit Hilfe eines HTML-Befehls oder einer Scriptsprache (z.B. JavaScript, VBScript, ...) ein ActiveX-Objekt beim Benutzer erzeugt. Ein ganz normaler Vorgang im M$-WWW.
Ausspähen ist IMHO so aber nicht ohne weiteres möglich. Die so ermittelten Daten können normalerweise nur per HTTP (als Link-Parameter, bla.html?id=.....) oder per Form (z.B. an ein CGI-Script oder ne Mail-Addy) übertragen werden. Somit ist weitere Benutzerinteraktion nötig.
Vorausgesetzt das sich kein Trojaner oder ähnliches vorher oder dabei eingenistet hat (wie hieß der Server-Wurm doch gleich ?( ), dann aber ist es eh schon zu spät
Btw, deaktivieren läßt sich das in den 'Internetoptionen', Unter Sicherheit für die jeweilige Zone die 'Stufe anpassen', die Unterpunkte von 'ActiveX-Steuerelemente und Plugins'. Dort könnt ihr ja mal spasseshalber alles auf 'Eingabeaufforderung' stellen und eure Lieblingsseiten absurfen ( aber nur wenn ihr keinen müden Mausfinger habt
).Cya,
- Bit'chen
es empfiehlt sich allgemein, bei den sicherheitsoptionen des explorers, diesen so einzustellen das vertrauenswürdige seiten (wie unser Habo zum beispiel!) auch in dieser zone landen und dort meinetwegen ein paar rechte mehr erhalten (active scripting und so ein zeugs). die internet-zone sollte allerdings ziemlich verschärfte sicherheitsregeln enthalten..
Hi again
@stefan
Klar geht das weiterhin, setzen der Hoch-Stufe ändert nichts am Status von vertrauenswürdigenden oder sicheren Objekten. Nur das direkte Manipulieren der Sicherheitsstufe bringt Abhilfe.
@all
Hab auch noch nen Punkt in den Sicherheitseinstellungen (der Dialog von 'Stufe anpassen') vergessen, alles unter 'Scripting' bisserl weiter unten.
Hab mal testweise bei 'Active Scripting' die Eingabeaufforderung eingestellt, alle Fragen mit 'Nein' beantwortet und so den Script-Schutz im body-tag aushebeln. Es ist tatsächlich so dermaßen billig wie sparxli und theBlubb gesagt haben, ein eingebettetes Frame mit Deiner Pladde, deshalb auch die optische Verwandschaft ;(
Nagut, wieder was gelernt.
Cya,
- Bit'chen
@stefan
Klar geht das weiterhin, setzen der Hoch-Stufe ändert nichts am Status von vertrauenswürdigenden oder sicheren Objekten. Nur das direkte Manipulieren der Sicherheitsstufe bringt Abhilfe.
@all
Hab auch noch nen Punkt in den Sicherheitseinstellungen (der Dialog von 'Stufe anpassen') vergessen, alles unter 'Scripting' bisserl weiter unten.
Hab mal testweise bei 'Active Scripting' die Eingabeaufforderung eingestellt, alle Fragen mit 'Nein' beantwortet und so den Script-Schutz im body-tag aushebeln. Es ist tatsächlich so dermaßen billig wie sparxli und theBlubb gesagt haben, ein eingebettetes Frame mit Deiner Pladde, deshalb auch die optische Verwandschaft ;(
Code:
<iframe src=\"file:///C|/\" height=200 width=640 marginwidth=0 marginheight=0 scrolling=no frameborder=0 vspace=2>
</iframe>Cya,
- Bit'chen
Also wirkklich leute... Das ist einer der absolut ältesten tricks, die der IFrame bringt!!! Genau so ist es auch möglich es per Script zu lösen. das is so baby!!! Auch wenn man norale frames nimmt geht das! keinerlei ActiveLanguage nötig! einfach nur
<iframe src="file:///C|/" height="100%" width="100%"></iframe> in eine HTML seite und fertig ist der gag. genau wie
Deine Festplatte (Besser kommt das Als button in einem Frameless window!!!
))
leute immerwieder ins staunen schickt. das is einer der ältesten LAMER Tricks überhaupt. IP auslesen is noch einfacher. nutze PHP. Das sagt alles. Diese vermeintlichen Hacker sind also sehr mies ausgerüstet! und den rechtsklickdeaktivierer, über den braucht man nicht reden. den findet man schließlich auf jeder ten seite!
Also: NO PANIC
<iframe src="file:///C|/" height="100%" width="100%"></iframe> in eine HTML seite und fertig ist der gag. genau wie
Deine Festplatte (Besser kommt das Als button in einem Frameless window!!!
))leute immerwieder ins staunen schickt. das is einer der ältesten LAMER Tricks überhaupt. IP auslesen is noch einfacher. nutze PHP. Das sagt alles. Diese vermeintlichen Hacker sind also sehr mies ausgerüstet! und den rechtsklickdeaktivierer, über den braucht man nicht reden. den findet man schließlich auf jeder ten seite!
Also: NO PANIC
