[Berlin-wireless]WICHTIG/IMPORTANT - freifunk-batman: Sicherheitsl�cke/security problem

[Sven-Ola Tuecke]

Hi Stefan,

meine Zeit teile ich gerne selbst ein. Wenn du einen qualifizierten 
Bugreport hast, dann sende einfach einen patch (udiff) - am besten gegen ein 
aktuelles "CVS co" und natuerlich mit passender Beschreibung um was es geht. 
Das spart Zeit.

HTH
// Sven-Ola

----- Original Message ----- 
From: "Stefan Sperling" <stsp at stsp.name>
To: <berlin at berlin.freifunk.net>
Sent: Monday, November 19, 2007 11:52 AM
Subject: Re: [Berlin-wireless]WICHTIG/IMPORTANT - freifunk-batman: 
Sicherheitslücke/security problem
On Mon, Nov 19, 2007 at 11:20:26AM +0900, bruno randolf wrote:
> wenn man also ne sicherheitsluecke findet, oder weiss was man wo besser 
> machen
> kann dann schreibt man am besten nen patch und schickt den an sven-ola,
> anstatt auf ner liste rum zu motzen.

Ich habe (wie anscheinend Alina, aber vermutlich aus anderen Gründen)
die Erfahrung gemacht das bugreports bzgl. der ff-firmware einfach
ignoriert werden (bzw. null feedback). Aber es kann sich auch um
Einzelfälle handeln, allzu viele bugs habe ich noch nicht reportet...

> (ja die fff ist voller schnellen hacks, aber sonst waere sie auch noch 
> nicht
> da wo sie ist.)

Das stimmt leider, und es liesse sich nur mit montrösem Zeitaufwand
lösen :(

Aber genau das macht dieses Thema auch wichtig!

> und das handling von vorhandenen luecken ueberlasst mal denen die die 
> luecke
> gefunden haben oder dran arbeiten sie zu schliessen - das muss man von 
> fall
> zu fall unterschiedlich handlen: es ist naemlich nicht schlau, zuerst auf 
> ner
> oeffentlichen liste zu posten, z.b. basierend auf der luecke vom april, 
> "seht
> mal, du kannst jeden beliebigen code ausfuehren indem du das kommando 
> einfach
> als parameter der status.html mitgibst, also mach mal,
> z.b. "wget...status.html?cat /etc/passwd". solche riesen-luecken sollte 
> man
> zuerst schliessen, bevor die information darueber zu oeffentlich wird. 
> andere
> weniger einfach auszunutzende luecken kann man gleich veroeffentlichen.

Ich denke das macht keinen Unterschied.

Jemand, der eine solche Lücke ausnutzen will und Zeit reinsteckt findet
sie auch ohne Veroeffentlichung. Und wirklich böswillige Leute, von denen
es vermutlich nicht gerade viele gibt, aber wegen denen wir überhaupt den
ganzen Aufwand betreiben Sicherheitslücken zu stopfen, haben viel mehr
Zeit als wir.

Alle anderen stehen ohne Veroeffentlichung dumm da und muessen
Sven-ola und Lui blind vertrauen dass das, was sie sagen, stimmt.

Wieso sind nochmal manche Menschen gegen einen Überwachungstaat und für
Gewaltenteilung und die Möglichkeit, Aussagen von anderen (vor allem
von Menschen in Machtpositionen) auf korrektheit überprüfen zu können?

Ich finde nicht dass wir diese Ideale fallen lassen sollten, schon
gar nicht bei freifunk. Ja, es ist wirklich eine ideelle Angelegenheit
für mich, keine praktische -- in der Praxis bin ich von der Lücke nicht
selbst betroffen da unsere Kreuzberg 61 Wolke nahezu batman frei ist,
aber wer weiss was für Lücken in Zukunft gefunden werden - dem will
ich schon mal vorbeugen -- dann wirds nämlich praxis.

> leute vergesst nicht: wir arbeiten alle am gleichen ziel, auch wenn jeder
> unterschiedliche herangehensweisen und ideen hat.

Das ist klar. Aber wir können doch unsere unterschiedlichen
herangehensweisen und ideen gemeinsam diskutieren oder nicht?

Das Alina diesen thread eher zum sven-ola bashing spam verschicken
benutzt als auf konstruktivere art beizutragen ist nicht mein fehler...
ich hoffe meine botschaft geht deswegen nicht unter :(

> und sven-ola ist euch *gar* *nichts* schuldig.

Ich ihm auch nichts, du ihm auch nichts :)

Das ich ihn und Lui davor warne dass sie evtl. das Vertrauen
sicherheitsversierter Mitglieder der community aufs spiel setzen
(also z.B. auch mein Vertrauen zu ihnen) stelle ich ihnen auch nicht
in Rechnung. Dieser Service ist kostenlos.

> PS: so ne sicherheitsluecke hat auch vorteile: durch die vom april konnte 
> ich
> endlich wieder in meinen cube dessen passwort ich vor 2 jahren vergessen
> hatte :)

:)

Das ist witzig, aber es gibt bessere Wege - ich würde eher das nvram
zurücksetzen als zu warten bis jemand ne Lücke findet...

-- 
stefan
http://stsp.name                                         PGP Key: 0xF59D25F0