Re: ~/public_html/ganz_geheim.txt
Bernhard Schiffner wrote: > Ich mach's hauptsächlich um "Halbfremden" Daten zukommenzu lassen. > (Port 80 HALT.) > also eine Url ~myname/(some_random_alphanum)/ per Mail versendet > sleep 40 && rm -rf hinterher und wer nicht will hat schon. Für genau diese Anwendungszwecke habe ich letztens eine Webapp gebaut: http://noatta.ch/ Allerdings speichert hier der Server nichts zwischen, sondern leitet nur weiter. Damit muss der Hochladende das Browser-Tab offen lassen. ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: ~/public_html/ganz_geheim.txt
> Gute Idee. > Das interessiert mich auch, obwohl ich aktuell kein Upload brauche. > Das Script finde ich aber unter dem letzten URL nicht. Nur ein > zweites Bild ... Sind ja auch drei Links - nimm einfach den ersten ;) https://keller.schlittermann.de/hg/anon-upload ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: ~/public_html/ganz_geheim.txt
Am Mittwoch, 20. Oktober 2010, 09:45:43 schrieb Torsten Werner: > 2010/10/20 Bernhard Schiffner : > > Er müßte ja das Zertifakt kontrollieren (können), ich müßte per > > (unverschlüsselter) Mail ihm auch noch account-Daten schicken etc. > > Den 'geheimen' Namen der Datei musst du ihm im Originalszenario > sowieso schicken oder soll der Name leicht zu erraten sein? :) Ja. Also bleibt sich's gleich, wo die Lücke ist. > Der Klassiker ist aber asymmetrische Verschlüsselung mit gnupg. Po Prinzipie, da. Da ich faul bin, habe ich z.B. z.Z. keinen öffentlichen Schlüssel (werde ich wohl gleich ändern) und mache deshalb gerne sowas wie gpg -c Passphrase= für Leute mit wenigstens ein bisschen Ahnung. :-) > Viele Grüße, > Torsten Bernhard > ___ > Lug-dd maillist - Lug-dd@mailman.schlittermann.de > https://ssl.schlittermann.de/mailman/listinfo/lug-dd ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: ~/public_html/ganz_geheim.txt
Am Dienstag, 19. Oktober 2010, 23:13:28 schrieb Heiko Schlittermann: > Bernhard Schiffner (Di 19 Okt 2010 17:04:42 CEST): > > Ich mach's hauptsächlich um "Halbfremden" Daten zukommenzu lassen. > > (Port 80 HALT.) > > also eine Url ~myname/(some_random_alphanum)/ per Mail versendet > > sleep 40 && rm -rf hinterher und wer nicht will hat schon. > > > > Aber 5 Tage sind schon eine gewisse Expositionszeit. Deshalb meine Frage. > > Gucke mal nach > > https://keller.schlittermann.de/hg/anon-upload > > Das war mal für einen ähnlichen Zweck für den Eigenbedarf gebaut. Das > Uploaden geht nur über HTTP-Auth, das Downloaden über einen statischen > generierten Link. Eine Expire-Zeit ist festsetzbar, allerdings expiren > die Files nur, falls der Upload-Link regelmäßig aufgerufen wird. (Ließe > sich ja mit wget einrichten, alternativ könnte der Script so angepasst > werden, daß er auch atjobs für die passende Zeit einrichtet.) > > Wenn Du mit dem Script nicht klarkommst, müsste ich etwas Doku dazu > schreiben (oder Du schreibst sie selbst, dann würde ich mich freuen :)) > > Zum Ausprobieren des Downloads: > https://keller.schlittermann.de/d/a699f05c63d8f6e4f488dc45eb3528f336d7ba06- > 1288385106/20090601-064415.jpg > > Oder des Scriptes selbst > > https://keller.schlittermann.de/ud > > … dann Dein Nachname und der letzte Buchstabe eine Unix-ähnlichen > Betriebssystems ☺ > > In 4 Wochen wird das ganze Ensemble gekillt. Gute Idee. Das interessiert mich auch, obwohl ich aktuell kein Upload brauche. Das Script finde ich aber unter dem letzten URL nicht. Nur ein zweites Bild ... Bernhard ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: ~/public_html/ganz_geheim.txt
Bernhard Schiffner schrieb: >> Ich würde sowas mit https+HTTP-Auth lösen. > Gewiss möglich. > Mir ist das etwas zuviel Aufwand für den "Halbfremden". > Er müßte ja das Zertifakt kontrollieren (können), ich müßte per > (unverschlüsselter) Mail ihm auch noch account-Daten schicken etc. Klitzekleines php script geschrieben das $_GET auswertet (username/pw) und du brauchst ihm nur noch den link incl. den GET-Parametern schicken (wie den downloadlink ja auch). Vortei: nach einmaligem betrachten kann der Inhalt sich auch selbst entfernen. Grüße ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: ~/public_html/ganz_geheim.txt
2010/10/20 Bernhard Schiffner : > Er müßte ja das Zertifakt kontrollieren (können), ich müßte per > (unverschlüsselter) Mail ihm auch noch account-Daten schicken etc. Den 'geheimen' Namen der Datei musst du ihm im Originalszenario sowieso schicken oder soll der Name leicht zu erraten sein? :) Der Klassiker ist aber asymmetrische Verschlüsselung mit gnupg. Viele Grüße, Torsten ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: ~/public_html/ganz_geheim.txt
Am Dienstag, 19. Oktober 2010, 17:02:42 schrieb falk.doer...@fadoe.de: > Hallo Bernhard, > > ist der Indianer ordentlich konfiguriert und mod_spelling nicht > installiert, kann der Finder dieser Datei auch Lotto spielen. Ganz > sicher gehen kannst du nur, indem du die geheim.txt nach ~/ verschiebst. Verstehe ich nicht ganz. Ich habe zwar keinen Indianer laufen, sondern was leichtes. Der betreut einen normalen Server auf diesem Host und hat u.a. dirlisting und userdir als Module. An ~/ will ich einen Halbfremden nicht ranlassen (ist ja meins) und es wird ja auch nicht per lighty angezeigt. ganz_geheim.txt ist ja (nur) für ihn bestimmt, im Gegensatz zu z.B. "wirklich_ganz_geheim.txt", was z.B. für Dich gedacht wäre. Was meinst Du also? > Ich würde sowas mit https+HTTP-Auth lösen. Gewiss möglich. Mir ist das etwas zuviel Aufwand für den "Halbfremden". Er müßte ja das Zertifakt kontrollieren (können), ich müßte per (unverschlüsselter) Mail ihm auch noch account-Daten schicken etc. > Grüße, > > Falk Bernhard ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: ~/public_html/ganz_geheim.txt
Bernhard Schiffner (Di 19 Okt 2010 17:04:42 CEST): > Ich mach's hauptsächlich um "Halbfremden" Daten zukommenzu lassen. > (Port 80 HALT.) > also eine Url ~myname/(some_random_alphanum)/ per Mail versendet > sleep 40 && rm -rf hinterher und wer nicht will hat schon. > > Aber 5 Tage sind schon eine gewisse Expositionszeit. Deshalb meine Frage. Gucke mal nach https://keller.schlittermann.de/hg/anon-upload Das war mal für einen ähnlichen Zweck für den Eigenbedarf gebaut. Das Uploaden geht nur über HTTP-Auth, das Downloaden über einen statischen generierten Link. Eine Expire-Zeit ist festsetzbar, allerdings expiren die Files nur, falls der Upload-Link regelmäßig aufgerufen wird. (Ließe sich ja mit wget einrichten, alternativ könnte der Script so angepasst werden, daß er auch atjobs für die passende Zeit einrichtet.) Wenn Du mit dem Script nicht klarkommst, müsste ich etwas Doku dazu schreiben (oder Du schreibst sie selbst, dann würde ich mich freuen :)) Zum Ausprobieren des Downloads: https://keller.schlittermann.de/d/a699f05c63d8f6e4f488dc45eb3528f336d7ba06-1288385106/20090601-064415.jpg Oder des Scriptes selbst https://keller.schlittermann.de/ud … dann Dein Nachname und der letzte Buchstabe eine Unix-ähnlichen Betriebssystems ☺ In 4 Wochen wird das ganze Ensemble gekillt. -- Heiko signature.asc Description: Digital signature ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: ~/public_html/ganz_geheim.txt
Am Dienstag, 19. Oktober 2010, 14:00:14 schrieb Thomas Köhler: > Bernhard Schiffner wrote: > > Hallo, > > > > wenn ich in meinem öffentlich per apache o.ä. sichtbarem Verzeichnis eine > > recht belanglose index.html habe und eine weitere ganz_geheim.txt, kann > > dann jemand der den exakten Namen | Pfad nicht a priori kennt die > > "versteckte" Datei irgendwie ausfindig machen? > > Das kommt darauf an... > > > z.B. Anzeige in einer Dirlist, wildecards ...? > > ... ob z.B. dein apache zum Beispiel irgendwann mal > fehlkonfiguriert wird und index.html aus dem DirectoryIndex > fliegt... Genau. Das ist's wovor ich (etwas) Angst habe. chmod o-r index.html langt auch. > > > Angiffspunkte über sowas wie index.php sollten erstmal nicht gegeben > > sein. (index.html ist statisch) > > ... oder inwieweit die Wissensträger die exakte URL dann zum > Beispiel in den IRC pasten oder twittern. :-) Ich mach's hauptsächlich um "Halbfremden" Daten zukommenzu lassen. (Port 80 HALT.) also eine Url ~myname/(some_random_alphanum)/ per Mail versendet sleep 40 && rm -rf hinterher und wer nicht will hat schon. Aber 5 Tage sind schon eine gewisse Expositionszeit. Deshalb meine Frage. > > Bernhard > > Ciao, > Thomas ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: ~/public_html/ganz_geheim.txt
Hallo Bernhard, ist der Indianer ordentlich konfiguriert und mod_spelling nicht installiert, kann der Finder dieser Datei auch Lotto spielen. Ganz sicher gehen kannst du nur, indem du die geheim.txt nach ~/ verschiebst. Ich würde sowas mit https+HTTP-Auth lösen. Grüße, Falk Zitat von Bernhard Schiffner : > Hallo, > > wenn ich in meinem öffentlich per apache o.ä. sichtbarem Verzeichnis eine > recht belanglose index.html habe und eine weitere ganz_geheim.txt, kann dann > jemand der den exakten Namen | Pfad nicht a priori kennt die "versteckte" > Datei irgendwie ausfindig machen? > > z.B. Anzeige in einer Dirlist, wildecards ...? > > Angiffspunkte über sowas wie index.php sollten erstmal nicht gegeben sein. > (index.html ist statisch) > > ??? > > > Bernhard > > ___ > Lug-dd maillist - Lug-dd@mailman.schlittermann.de > https://ssl.schlittermann.de/mailman/listinfo/lug-dd > ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: ~/public_html/ganz_geheim.txt
Hallo, Von: "Carsten Weber" >es gibt ein httpd-Plugin (im Speziellen eben wohl auch für Apache), >dessen Name mir zwar grad nicht einfällt, aber der Sinn ist, dass der >User sich etwas verschreiben kann und trotzdem das richtige(?!) >Dokument ausgeliefert wird. Du meinst mod_speling. Ja, so wird das geschrieben. Holger ___ WEB.DE DSL Doppel-Flat ab 19,99 €/mtl.! Jetzt auch mit gratis Notebook-Flat! http://produkte.web.de/go/DSL_Doppel_Flatrate/2 ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: ~/public_html/ganz_geheim.txt
Am Tue, 19 Oct 2010 13:32:20 +0200 schrieb Bernhard Schiffner : Hallo, > z.B. Anzeige in einer Dirlist, wildecards ...? es gibt ein httpd-Plugin (im Speziellen eben wohl auch für Apache), dessen Name mir zwar grad nicht einfällt, aber der Sinn ist, dass der User sich etwas verschreiben kann und trotzdem das richtige(?!) Dokument ausgeliefert wird. Das vergrößert natürlich die Angriffsfläche für Brute-Force-Angriffe erheblich. Carsten ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: ~/public_html/ganz_geheim.txt
Bernhard Schiffner wrote: > Hallo, > > wenn ich in meinem öffentlich per apache o.ä. sichtbarem Verzeichnis eine > recht belanglose index.html habe und eine weitere ganz_geheim.txt, kann dann > jemand der den exakten Namen | Pfad nicht a priori kennt die "versteckte" > Datei irgendwie ausfindig machen? Das kommt darauf an... > z.B. Anzeige in einer Dirlist, wildecards ...? ... ob z.B. dein apache zum Beispiel irgendwann mal fehlkonfiguriert wird und index.html aus dem DirectoryIndex fliegt... > Angiffspunkte über sowas wie index.php sollten erstmal nicht gegeben sein. > (index.html ist statisch) ... oder inwieweit die Wissensträger die exakte URL dann zum Beispiel in den IRC pasten oder twittern. > Bernhard Ciao, Thomas -- Thomas Köhler Email: jean-...@picard.franken.de <>< WWW: http://gott-gehabt.de IRC: tkoehler PGP public key available from Homepage! ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: ~/public_html/ganz_geheim.txt
Hi! > wenn ich in meinem öffentlich per apache o.ä. sichtbarem Verzeichnis eine > recht belanglose index.html habe und eine weitere ganz_geheim.txt, kann dann > jemand der den exakten Namen | Pfad nicht a priori kennt die "versteckte" > Datei irgendwie ausfindig machen? Wenn der Server sonst keine Lücken hat, nur per BruteForce. Grüße, morphium ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
~/public_html/ganz_geheim.txt
Hallo, wenn ich in meinem öffentlich per apache o.ä. sichtbarem Verzeichnis eine recht belanglose index.html habe und eine weitere ganz_geheim.txt, kann dann jemand der den exakten Namen | Pfad nicht a priori kennt die "versteckte" Datei irgendwie ausfindig machen? z.B. Anzeige in einer Dirlist, wildecards ...? Angiffspunkte über sowas wie index.php sollten erstmal nicht gegeben sein. (index.html ist statisch) ??? Bernhard ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
