staging.inyokaproject.org

Steht hier im Thread:

encbladexp schrieb:

…Wir wollen vermeiden das "böse" Anhänge im Browser was machen, durch die Einstellung erzwingen wir einen Download.

Herunterladen muss man die Bilder sowieso, ob in den cache, nach tmp oder Downloads ist dabei zunächst egal (die ersten beiden werden halt automatisch aufgeräumt). Danach entscheidet der MIME-Typ mit welcher Anwendung besagter Download geöffnet wird/werden kann. Wie das mit den Webserver-Einstellungen ist, weiß ich allerdings auch nicht und wieso das Einfluss auf die lokale(!) Behandlung von heruntergeladenen Dateien hat. Ich tüftle nur mit lokalen Webservern rum und die brauchen eh keine Bilder anzeigen. Und wie erwähnt, lade ich sowieso immer (nach /tmp) runter und nutze nicht den Browser zur Bildanzeige.

Da der Browser heutzutage Einfallstor Nummer 1 ist, fände ich mal interessant, was man jemandem als „Bild“ unterjubeln kann. Ein Bashscript wird vermutlich als Text angezeigt, aber was ist mit einer html/js-Datei mit der Endung jpg? Ich finde diese Einstellung sollte überall so sein und der Klient sollte entscheiden, wie mit extern heruntergeladenen Inhalten umgegangen wird. Eher erschreckend, was da automatisch läuft…

Ich würde anhand des Magic Byte (so machen es die Browser auch) entscheiden, was passiert und dann auch nur das Laden, was dazu passt. Skripte in Bildern würden dann nicht ausgeführt.

Aber von MS wissen wir ja, dass es manchmal andere Prioritäten gibt.

DJKUhpisse schrieb:

Ich würde anhand des Magic Byte (so machen es die Browser auch) entscheiden, was passiert…

Wenn dem so wäre, müsste es dir ja das Bild anzeigen. Oder manipuliert uu.de das magic byte der Dateien?

Nachtrag:
https://support.mozilla.org/en-US/questions/1372228 zeigt, wie man die automatische Behandlung von Dateien einstellt. Kann das jmd ausprobieren?

Ist denn seitens uu.de für 2023 geplant, da mal was zu machen jetzt mit der Problematik?

…Wir wollen vermeiden das "böse" Anhänge im Browser was machen, durch die Einstellung erzwingen wir einen Download.

Wie sollen denn Bilder einen Schadcode hinterlassen, zumal sie mit Bilderdatei-Endungen versehen sind?

Steve1 schrieb:

Ist denn seitens uu.de für 2023 geplant, da mal was zu machen jetzt mit der Problematik?

Wäre mir neu.

Steve1 schrieb:

Ist denn seitens uu.de für 2023 geplant,

Die Antwort ist leider so schlicht und demotivierend wie vorhersehbar: Planung ist nur bei planbaren Ressourcen moeglich, und die gibt es nicht.

Steve1 schrieb:

Wie sollen denn Bilder einen Schadcode hinterlassen, zumal sie mit Bilderdatei-Endungen versehen sind?

Bilder gar nicht. Aber Dateiendungen kannst du ja auch frei wählen. Hindert dich ja niemand daran eine Website oder ein Script mit der Endung .jpg anzuhängen. Daher fallen Dateiendungen weg. Spielen sowieso unter unixoiden eine untergeordnete Rolle, da die grundlegenden Bibliotheken meist mit den magic bytes arbeiten. Schwierig ist es mit Textdateien, kann ja alles sein. Da viele Browser nen Haufen Zeug einfach so ausführen, sind sie natürlich auch ein super Einfalltor für Schädlinge. Falls es dich interessiert: Surfe mal mit ausgeschaltetem JavaScript oder mit LibreJS. Da wird das Internet ziemlich schnell ziemlich leer, weil nur trivialer Code ungefragt ausgeführt wird. Sich den Seitenquellcode angucken ist auch bisweilen interessant.
Dazu kommen dann noch die ganzen Plugins…

Nun müsste sich mal jemand die Mühe machen und einen kleinen Algorithmus entwickeln der angehängte Dateien überprüft und entsprechend den Ausgabetyp des Webservers beeinflussen. Für die Firefox-Nutzer könnte man dann gleich eine Dateiendung anhängen, da in diesem Browser Bilder ohne Dateiendung noch nie geöffnet wurden (gibts auch Themen zu).

sebix schrieb:

Die Antwort ist leider so schlicht und demotivierend wie vorhersehbar: Planung ist nur bei planbaren Ressourcen moeglich, und die gibt es nicht.

Demotivierend finde ich das nicht. Es gibt wirklich dringlichere Dinge als das.

Nenne mir mal einen Anhang mit Schadcode für Debian Ubuntu, der die Dateiendung .jpg hat zur Täuschung und ich mit einem Doppelkick ihn ausführe.

encbladexp schrieb:

sh4711 schrieb:

Das ist ggf. eine Einstellungssache im caddy-server

Ist es auch, aber ist auch eine historisch bedinge Entscheidung: Wir wollen vermeiden das "böse" Anhänge im Browser was machen, durch die Einstellung erzwingen wir einen Download ...

Eines ist mir nicht ganz klar.

Wenn die Ubuntuserver dafür verantwortlich sind,ob der Anhang geöffnet oder heruntergeladen wird, warum funktioniert es auf dem Smartphone dann so wie eh und je? Sowohl im Safari-Browser als auch mit dem Firefox unter iOS werden die Bilder ohne Nachfrage geöffnet. Oder entscheiden die Server da unterschiedlich, je nachdem ob Ubuntu mit Firefox oder iOS mit Firefox?

charly-ax schrieb:

Sowohl im Safari-Browser als auch mit dem Firefox unter iOS werden die Bilder ohne Nachfrage geöffnet.

Kann ich nicht sagen woran das liegt. Firefox unter Android lädt die Bilder herunter.

charly-ax schrieb:

…warum funktioniert es auf dem Smartphone dann so wie eh und je?

Was automatisch passiert, „entscheidet“ der Browser. Entweder nach MIME-Typ oder nach Dateiendung, unabhängig davon wie der Server was ausliefert. Das sind zwei paar Schuhe. Das was uu.de beeinflussen kann/könnte ist die Art wie ein Bild (oder generell eine Datei) ausgeliefert wird. Was dann tatsächlich beim Klient passiert, wird dort definiert. Ich nehme mal an, das die Smartphone-Browser generell ignorieren wie der Server was ausliefert und entsprechend der Datei selbst weiterverfahren. Ist aber nur eine Mutmaßung.

charly-ax schrieb:

... Wenn die Ubuntuserver dafür verantwortlich sind,ob der Anhang geöffnet oder heruntergeladen wird, warum funktioniert es auf dem Smartphone dann so wie eh und je? Sowohl im Safari-Browser als auch mit dem Firefox unter iOS werden die Bilder ohne Nachfrage geöffnet. Oder entscheiden die Server da unterschiedlich, je nachdem ob Ubuntu mit Firefox oder iOS mit Firefox?

Die Vermutung liegt nahe, dass die Mobil-Browser sorgloser oder benutzerfreundlicher (ganz wie man es sieht) in der Mime Verarbeitung sind. Das heißt sie gehen nicht nach dem Mime/Contenttype sondern nach der Dateierweiterung oder versuchen gar die Datei zu interpretieren. Siehe auch hier: #post-9330552

Edit: zu langsam 😢

ChickenLipsRfun2eat schrieb:

...

Köche..., Brei ..., Auslöffeln ... , 😛 klingt kompliziert. Kann es dann nicht ubuntuusers egal sein, was der User mit seinem Browser damit anstellt?

Steve1 schrieb:

Nenne mir mal einen Anhang mit Schadcode für Debian Ubuntu, der die Dateiendung .jpg hat zur Täuschung und ich mit einem Doppelkick ihn ausführe.

Es ist wohl nicht im Sinne des Forums solche Blaupausen auszugeben. Zudem sind solche zero-day-hacks sehr wertvoll.

Das so etwas über "Bilddateien" funktioniert kann man wie folgt bei der wikipedia nachlesen: Pegasus_(Spyware)

charly-ax schrieb:

Köche..., Brei ..., Auslöffeln ... , 😛 klingt kompliziert. Kann es dann nicht ubuntuusers egal sein, was der User mit seinem Browser damit anstellt?

Theoretisch ja, rechtlich nein, soweit ich das verstanden habe. Selbst wenn, bedürfte es einer Code-Änderung und da ist unser Webteam zu dezimiert zu und es scheint ja auch keiner die Muße zu haben sich des Problems anzunehmen und sich in die Komponenten einarbeiten zu wollen.

Ich würde aber auch eher eine Klientlösung suchen, damit jeder entscheiden kann, wie er mit den Dateien umgehen will. Der Qutebrowser macht das gut, der fragt immer brav, ob er Ausführen (=Anzeigen bei Bildern, Standard-Editor bei Text, etc.), Speichern oder Verwerfen soll. Das tut er überall, nicht nur bei uu.de.

Ansonsten im Feuerfuchs eben mal das oben verlinkte von Mozilla bemühen. Scheint ja über dessen Downloadmanager zu funktionieren (GNU IceCat bietet das nicht an)