• Bitte schaltet eure Ad Blocker aus. SLinfo kann nur betrieben werden, wenn es durch Werbung Einnahmen erzielt. Vielen Dank!!
  • Wir freuen uns, wenn du dich in unserem Forum anmeldest. Bitte beachte, dass die Freigabe per Hand durchgeführt wird (Schutz vor Spammer). Damit kann die Freigabe bis zu 24 Stunden dauern.
  • Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Sie geben Einwilligung zu unseren Cookies, wenn Sie unsere Webseite weiterhin nutzen.

Sicherheitslücke "libsecondlife"

REDBARON Laval

Aktiver Nutzer
Abend,
jeder auf der orginal libsecondlife 0.4.1 basierende BOT enthält unbedingt diesen Code
// TODO: Remove me when MONO can handle ServerCertificateValidationCallback
internal class AcceptAllCertificatePolicy : ICertificatePolicy
{
public AcceptAllCertificatePolicy()
{
}

public bool CheckValidationResult(ServicePoint sPoint,
System.Security.Cryptography.X509Certificates.X509Certificate cert,
WebRequest wRequest, int certProb)
{
// Always accept
return true;
}
}

Die SSL Verbindung zu den Servern ist praktisch völlig nutzlos.
Die Daten werden zwar verschlüsselt übertragen, ob diese auch
tatsächlich an den gewünschten Server gesendet werden ist unklar.
Das Serverzertifikat wird nicht geprüft. Eine durch Fremdprogramme
oder gar die Botsoftware selbst manipulierte HOST Tabelle oder
merkwürdige DNS Server oder was auch immer ... egal !

Hoffentlich ist MONO bald kompatibel zur MS Runtime

Wer dennoch auf BOTs nicht verzichten mag sollte die Login URI
durch die IP ersetzen.

Erschreckend ist jedoch, dass die Herren Software-Entwickler diesen "BUG"
billigend in Kauf nehmen und auf Ihren Webseiten sich keinerlei Hinweis
findet der die Kunden warnt.

Viel Spass noch ...
Beachten Sie: Forencode und Smiley-Button sind nicht sichtbar, aber trozdem nutzbar!
 

Users who are viewing this thread

Zurück
Oben Unten