Forenhack: Unterschied zwischen den Versionen
("p" in temporär eingefügt (faeshn)) |
K (Link zu Screenshot zu "Grüßen von Tyler" ist inzwischen (logischerweise!) tot, deshalb "Internet Archive"-Link eingefügt.) |
||
(15 dazwischenliegende Versionen von 9 Benutzern werden nicht angezeigt) | |||
Zeile 3: | Zeile 3: | ||
Die meisten dieser '''Hacks''' funktioner(t)en durch simple Manipulation der verschiedenen Parameter in URLs, die auf [[Posting|Postings]] des Heise-Forums verweisen. | Die meisten dieser '''Hacks''' funktioner(t)en durch simple Manipulation der verschiedenen Parameter in URLs, die auf [[Posting|Postings]] des Heise-Forums verweisen. | ||
Ein beliebter [[Forenhack]] bestand zum Beispiel in der Möglichkeit, einen durch die [[Heise-Administratoren]] gesperrten Beitrag ungeachtet der Sperre lesen zu können. Der Fehler in der Forensoftware, der diesen [[Forenhack]] ermöglichte, wurde bereits behoben. | Ein beliebter [[Forenhack]] bestand zum Beispiel in der Möglichkeit, einen durch die [[Heise-Administratoren]] gesperrten Beitrag ungeachtet der Sperre lesen zu können. Der Fehler in der [[Forensoftware]], der diesen [[Forenhack]] ermöglichte, wurde bereits behoben. | ||
Eine lang bekannte Sicherheitslücke, nämlich die Tatsache, daß der "personality"-[[Hash]] Bestandteil etlicher Links auf der Heise-Website, z.B. des "Benutzer ignorieren"-Links war, ermöglichte gar das Übernehmen eines fremden Heise-Accounts, wenn die/der Benutzer/in einen solchen kritischen Link selbst im Forum veröffentlichte. So ging es z.B. auch [[Tabsi]]: Ihr Account wurde [http://www.heise.de/foren/go.shtml?read=1&msg_id=4590614&forum_id=47348 temporär übernommen]. Die Lücke wurde daraufhin [http://www.heise.de/foren/go.shtml?read=1&msg_id=4596863&forum_id=7262 geschlossen]. | Eine lang bekannte Sicherheitslücke, nämlich die Tatsache, daß der "personality"-[[Hash]] Bestandteil etlicher Links auf der Heise-Website, z.B. des "Benutzer ignorieren"-Links war, ermöglichte gar das Übernehmen eines fremden Heise-[[Account|Accounts]], wenn die/der Benutzer/in einen solchen kritischen Link selbst im Forum veröffentlichte. So ging es z.B. auch [[Tabsi]]: Ihr [[Account]] wurde [http://www.heise.de/foren/go.shtml?read=1&msg_id=4590614&forum_id=47348 temporär übernommen]. Die Lücke wurde daraufhin [http://www.heise.de/foren/go.shtml?read=1&msg_id=4596863&forum_id=7262 geschlossen]. | ||
Am 21.11.2006 erlangte [[Twister]] Administratonsrechte. Geschockt durch diesen wahrscheinlich furchtbaren Anblick, gab sie diese Information sofort an [[Tyler Durden]] weiter, der daraufhin [[heise]] informierte. Tyler konnte sich nicht zurückhalten und hinterließ Grüße in einer [https://web.archive.org/web/20070222044700/http://img86.imageshack.us/img86/8489/tylerlcke1ii7.gif FAQ]. Der Fehler wurde unmittelbar, wenn auch am nächsten Tag [http://www.heise.de/extras/foren/go.shtml?read=1&msg_id=11655262&forum_id=7262 gefixt]. | |||
Inzwischen auch nicht mehr möglich ist der '''Multi-Plonk''', bei dem man einem (ungeliebten) Benutzer vortäuschen kann, daß er von wesentlich mehr Benutzern ignoriert wird, als dies tatsächlich der Fall ist. Dazu ist noch nicht einmal die Manipulation eines URL erforderlich, der '''Multi-Plonk''' ist mit einfachsten Mitteln zu bewerkstelligen: Es ist nicht mehr zu tun, als den gewünschten Benutzer in herkömmlicher Weise zu [[Plonk|plonken]] und diesen Vorgang nach zwei Rückschritten im Browser einfach zu wiederholen. Auf diese Weise kann man z.B. sein ganzes [[Killfile]] mit bis zu 36 Einträgen des selben Benutzers füllen, wobei jeder dieser Einträge den [[Plonk]]-Counter dieses Benutzers inkrementiert. | |||
Am 26.07.2005 wurde im [[Off-Topic_Forum|Off-Topic Forum]] die maximale [[Thread]]tiefe im [[Uboot-Thread]] [http://www.heise.de/foren/go.shtml?read=1&msg_id=8495230&forum_id=77457 erreicht]. Dies führte dazu zu einer kurzen [http://www.heise.de/foren/go.shtml?read=1&msg_id=8496831&forum_id=7262 Sperre] dieses einen Forums. | |||
Kein Hack, sondern wahrscheinlich einfach nur ein Bug in der Forensoftware ist | |||
die [[Unschärfe|Heisesche Unschärferelation]]. | |||
In die gleiche Kategorie dürfte dieses hier fallen: In welchem Forum | |||
[http://www.heise.de/foren/go.shtml?llist=1&write=1 dieser] Beitrag wohl erscheint? | |||
Faszinierend ist auch, dass Heise anfängt Foren zu Recyceln: | |||
[http://www.heise.de/tp/foren/go.shtml?list=1&hs=0&forum_id=81351 Ein Forum für zwei Artikel] | |||
Gelegentlich führt die Beseitigung der durch einen [[Forenhack]] entdeckten Fehler zu [[Wartungsarbeiten]] |
Aktuelle Version vom 25. Januar 2016, 00:32 Uhr
Als Forenhack oder Forumshack bezeichnet man salopp die Anwendung einer beliebigen Methode, welche die Forensoftware zu Aktionen veranlaßt, die von den Programmierern nicht vorgesehen sind.
Die meisten dieser Hacks funktioner(t)en durch simple Manipulation der verschiedenen Parameter in URLs, die auf Postings des Heise-Forums verweisen.
Ein beliebter Forenhack bestand zum Beispiel in der Möglichkeit, einen durch die Heise-Administratoren gesperrten Beitrag ungeachtet der Sperre lesen zu können. Der Fehler in der Forensoftware, der diesen Forenhack ermöglichte, wurde bereits behoben.
Eine lang bekannte Sicherheitslücke, nämlich die Tatsache, daß der "personality"-Hash Bestandteil etlicher Links auf der Heise-Website, z.B. des "Benutzer ignorieren"-Links war, ermöglichte gar das Übernehmen eines fremden Heise-Accounts, wenn die/der Benutzer/in einen solchen kritischen Link selbst im Forum veröffentlichte. So ging es z.B. auch Tabsi: Ihr Account wurde temporär übernommen. Die Lücke wurde daraufhin geschlossen.
Am 21.11.2006 erlangte Twister Administratonsrechte. Geschockt durch diesen wahrscheinlich furchtbaren Anblick, gab sie diese Information sofort an Tyler Durden weiter, der daraufhin heise informierte. Tyler konnte sich nicht zurückhalten und hinterließ Grüße in einer FAQ. Der Fehler wurde unmittelbar, wenn auch am nächsten Tag gefixt.
Inzwischen auch nicht mehr möglich ist der Multi-Plonk, bei dem man einem (ungeliebten) Benutzer vortäuschen kann, daß er von wesentlich mehr Benutzern ignoriert wird, als dies tatsächlich der Fall ist. Dazu ist noch nicht einmal die Manipulation eines URL erforderlich, der Multi-Plonk ist mit einfachsten Mitteln zu bewerkstelligen: Es ist nicht mehr zu tun, als den gewünschten Benutzer in herkömmlicher Weise zu plonken und diesen Vorgang nach zwei Rückschritten im Browser einfach zu wiederholen. Auf diese Weise kann man z.B. sein ganzes Killfile mit bis zu 36 Einträgen des selben Benutzers füllen, wobei jeder dieser Einträge den Plonk-Counter dieses Benutzers inkrementiert.
Am 26.07.2005 wurde im Off-Topic Forum die maximale Threadtiefe im Uboot-Thread erreicht. Dies führte dazu zu einer kurzen Sperre dieses einen Forums.
Kein Hack, sondern wahrscheinlich einfach nur ein Bug in der Forensoftware ist die Heisesche Unschärferelation.
In die gleiche Kategorie dürfte dieses hier fallen: In welchem Forum dieser Beitrag wohl erscheint?
Faszinierend ist auch, dass Heise anfängt Foren zu Recyceln: Ein Forum für zwei Artikel
Gelegentlich führt die Beseitigung der durch einen Forenhack entdeckten Fehler zu Wartungsarbeiten