• Bitte schaltet eure Ad Blocker aus. SLinfo kann nur betrieben werden, wenn es durch Werbung Einnahmen erzielt. Vielen Dank!!
  • Wir freuen uns, wenn du dich in unserem Forum anmeldest. Bitte beachte, dass die Freigabe per Hand durchgeführt wird (Schutz vor Spammer). Damit kann die Freigabe bis zu 24 Stunden dauern.
  • Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Sie geben Einwilligung zu unseren Cookies, wenn Sie unsere Webseite weiterhin nutzen.

Shared Media: Bringing the Web inworld with Viewer 2.0

B

Bartholomew Gallacher

Guest
Ich verstehe das Problem nicht. Was ist denn wenn einer meine IP hat ? Er sieht dann maximal den Standort meines Internetproviders, das bringt ihm rein gar nichts.

Najaaaa, also die IP-Pools von Dilaup-Providern sind normalerweise schon sehr ortsgebunden, von daher kommt man bei guten Datenbanken zumindest schon so ungefähr in die Kante. Ist ja auch logisch, denn je besser die Datenbanken sind, desto mehr Geld lässt sich damit verdienen.
 

Shirley Iuga

Forumsgott/göttin
Es macht einen riesen Unterschied, ob ich mich in einen debian-Server von LL hacken muss, dort nach den passenden logs usw suchen muss um eine IP rauszubekommen oder ob ich einfach ein http-Prim anziehe (das man nebenbei nicht mal sehen muss..) und einen lokalen http-Server auf meinem PC zu hause starte und dessen Adresse ins Prim eintrage und dann direkt mit einem simplen netstat sehe welche IP alles von mir lädt. Um dann anschließend eines der nuke-Tools oder ein Exploit-Tool loszulassen. Oder eine nette DOS-Attacke zu starten, bei der mit falschen IP Paketen eben mal 2000 Downloads für die erschnüffelte IP gestartet werden...

Ersteres braucht gewisse Kenntnisse, letzeres kriegt jedes Scriptkid hin. Das zeug dazu gibts kostenlos auf diversen obskuren Hackerseiten.

Aber sonst hat man keine Chance an die IP der anderen User zu kommen, sowohl bei IM als auch bei Voice usw. läuft alles über zentrale Server, die die IP nicht (mehr) weiterleiten. Es gab wohl mal einen Bug mit den IP bzw. TP-invitations, das wurde soweit ich weiß aber schon lange von den Servern abgestellt.

Klar spielt man auch mit seinem Browser flash-Videos und Quicktime-Files ab. Aber wärhend man bei seinem Browser eigentlich selbst entscheidet welche Seiten man ansurft und welche eben besser nicht, da kriegt man in SL einfach eine URL vor die Nase gesetzt, die dann geladen wird.
Das ist sicherheitstechnisch ein gewaltiger Unterschied zwischen einem Browser und zwischen Web auf Prims.


Und dass es z.B. in Quicktime immer noch Exploits gibt ist z.B. an der netten Bot-Detection Gemini CDS Relay von Skills Hak zu sehen:

https://www.xstreetsl.com/modules.php?name=Marketplace&file=item&ItemID=2138424

Das Ding ist in den SL Blogs ( https://blogs.secondlife.com/thread/10467?start=0&tstart=0 )bzw. in den opensource-dev listen viel diskutiert worden, und so wie es aussieht benutzt vermutlich dieses Client-Detection-System Relay einfach den media Stream um sich über einen Quicktime Exploit (in diesem Fall ein Exploit der Update Funktion) eine Übersicht über den AppData bzw. Anwendungsdaten Ordner und damit über die auf dem Rechner installierten Programme zu verschaffen. Und wenn dort ein entsprechendes Programm gefunden wird, dann kommt der Ava auf die globale Banlist.
Auch wenn man gar nicht mit dem Bad Client eingeloggt ist. Es reicht ihn installiert zu haben und online zu sein.


In diesem Fall wird sowas möglicherweise genutzt um was gegen böse Buben zu machen, aber so ein Exploit kann durchaus auch für andere Dinge genutzt werden.


Und was die IP an sich angeht:
Die schränkt den User auf einen geographischen Bereich von ca. 25km bis 100km Durchmesser ein, je nach Provider. Einfach mal utrace - IP-Adressen und Domainnamen lokalisieren aufrufen, ich bin z.B. um Umkreis von 30km um meinen derzeitigen AccessPoint zu finden, der dort angezeigt wird. :)

Vor allem aber lässt sich über die IP raus finden zu wem welche Alts gehören könnten. Klar ist das in De meist eine dynamische IP, aber die selbe IP innerhalb kurzer Zeit mit zwei Usern eingeloggt bedeutet eigentlich schon, dass sich die beiden irgendwie einen Internetanschluss teilen. Mag sein, dass die eine IP morgen ein anderer User hat, aber wer z.B. exotische Provider nutzt kann so durchaus auch mal als Alt identifiziert werden.

Gerade für Stalker und sonstige Irre, die durchnkallen wenn sie bei einem RP-Kamp verlieren in SL usw. (und die gibts dort leider hin und wieder mal...) ist das eine "offene Haustür" mit dem Web-Prim.

Aus diesem Grund hab ich z.B. eigentlich immer den Media Stream aus, und bevor ich den anmache schau ich einfach kurz im Landmenu nach welcher Stream dort eingetragen ist (notfalls Admin Menu kurz anmachen, dann sieht man das). Kenn ich den auf einem fremden Land (wobei z.B. bekannte Clubs normal schon sicher sein sollten) nicht bzw. lässt sich der Betreiber nicht rausfinden, dann bleibt das Radio in SL aus und ich mach einfach VLC an und hör Internetradio.
 
In Ausnahmefällen reicht das, wenn diese Person genügend anderer Parameter öffentlich gemacht hat.
[...]
Außer man hat eine Firma und möchte den gleichen Anschluß nutzen aber trotzdem in SL anonym sein.
[...]
Das ist absolut kein Grund, ein Sicherheitsloch offenzulassen, nur weil es andere gibt. Du sperrst dein Auto wohl auch ab, obwohl ein entschlossener Dieb sicher auch anders reinkommt.

Also, nur um das zu rekapitulieren: es muss unbedingt SL über eine Firmenleitung gespielt werden, die anscheinend auch eine Domain per DENIC gekoppelt hat, vermutlich mit Webservice etc. dahinter.

Hier wird ein EIGENES massives Sicherheitloch produziert, und zwar von euch, nicht von Linden - Tatsache ist, dass das Grundprinzip der Medieninhalte keine größere Sicherheitsproblematik mit sich bringt als das Surfen als solches, abgesehen von der Tatsache, dass keine URL eingeben werden muss, sondern der Aufruf duch reines Anschauen erzeugt wird. Darauf habe ich bereits hingewiesen.

Prinzipiell sind IP-Adressen nicht direkt mit der Adresse oder Person dahinter gekoppelt. Diese Personendaten liegen ausschließlich beim Provider und gehören rechtlich zum Vertragsrecht - technisch betrachtet sind sie nicht notwendig. Wenn man aber selber eine Domain, deren Kontaktdaten per DENIC auslesbar sind, mit einer IP-Adresse koppelt, so wie ihr es tut, dann ist das alles andere als ein Standardfall, sondern eine eigenständige Handlungsweise. Dieser Sonderfall ist aber nicht nur in Bezug auf SL gefährlich, sondern in JEDER Form des Kontaktes eurer IP-Adresse mit anderen Systemen, denn prinzipiell kann jede Verbindung mitgeloggt werden, unanhängig vom verwendeten Protokoll.

Der Vorwurf von deiner Seite ist, um bei der Analogie des Autos zu bleiben, in etwa so, als würdest du mit deinem Auto (aktiv) ein parkendes und unbesetztes Auto (passiv) zusammenfahren und dem Besitzer dann die Schuld geben, weil er grade da parken musste. Ihr selber habt diese Sicherheitslücke geschaffen, und das Problem ist nicht auf Linden begrenzt. Abhilfe wäre, sich eine separate Leitung anzulegen oder das SL-spielen auf einer Firmenleitung anderweitig zu unterlassen.

Najaaaa, also die IP-Pools von Dilaup-Providern sind normalerweise schon sehr ortsgebunden, von daher kommt man bei guten Datenbanken zumindest schon so ungefähr in die Kante. Ist ja auch logisch, denn je besser die Datenbanken sind, desto mehr Geld lässt sich damit verdienen.

Bei Einwahlsystems (was, die gibts noch in DE?) war das tatsächlich der Fall, dass der Einwahlrouter auffindbar - allerdings nur Ortsnetzweise, d.h. mann wußte welche Vorwahl einer IP-Adresse angehörte. Sehr detailliert, muss ich sagen.

Bei DSL sind die Endanwender (genauer, deren Modems :) ) mit Gegenstellen verbunden, den DSLAMS. Diese stehen in Hauptverteilern. Die maximale Kabellänge zwischen Modem und DSLAM ist 5 Kilometer, bei DSL Light bis zu 10. Die Fläche, insbesondere in Großstädten, dürfte einige Tausend Gebäude umfassen - immerhin 78 km² bei "normalem" DSL.

Früher hat die Telekom Deutschland (und ausschließlich diese) die DSLAM-Hauptverteiler mit ortsgebundenen Namen versehen, da war die Auflösung geographisch relativ einfach. Nachdem das zu Problemen geführt hat, sind diese DSLAMS heute durchnummeriert, die geographischen Koordinaten hat nur noch die Telekom.

GeoIP etc. finden üblicherweise nur den Standort des Providers, und dieser wird üblicherweise durch reverse Suche des IP-Ranges ermittelt - und spuckt nur die vom ISP hinterlegten Adressdaten aus.

Auffindbar ist eine Person nur, wie oben beschrieben, wenn sie selber Adressdaten etc. pp. irgendo hinterläßt, wo sie auffindbar und verknüpfbar sind. Nur ist das Problem dann hausgemacht, siehe oben.
 
Vor allem aber lässt sich über die IP raus finden zu wem welche Alts gehören könnten. Klar ist das in De meist eine dynamische IP, aber die selbe IP innerhalb kurzer Zeit mit zwei Usern eingeloggt bedeutet eigentlich schon, dass sich die beiden irgendwie einen Internetanschluss teilen. Mag sein, dass die eine IP morgen ein anderer User hat, aber wer z.B. exotische Provider nutzt kann so durchaus auch mal als Alt identifiziert werden.

Gerade für Stalker und sonstige Irre, die durchnkallen wenn sie bei einem RP-Kamp verlieren in SL usw. (und die gibts dort leider hin und wieder mal...) ist das eine "offene Haustür" mit dem Web-Prim.

Bei Alts, die dazu verwendet werden, einem Stalker aus dem Weg zu gehen sehe ich nicht das Problem, den gestalkten Hauptavi zu beenden oder ruhen zu lassen, bis dem Stalker das Ganze zu langweilig wird.

Bei Alts, die für missbräuchliche Zwecke verwendet werden, wäre so eine Erkennung sinnvoll.
 

Shirley Iuga

Forumsgott/göttin
Bei Alts, die dazu verwendet werden, einem Stalker aus dem Weg zu gehen sehe ich nicht das Problem, den gestalkten Hauptavi zu beenden oder ruhen zu lassen, bis dem Stalker das Ganze zu langweilig wird.

Bei Alts, die für missbräuchliche Zwecke verwendet werden, wäre so eine Erkennung sinnvoll.

Naja, LL hat eine Möglichkeit Alts zu erkennen,sogar eine recht zuverlässige.
Der Viewer sendet ja nicht nur IP + Mac-Adresse + Festplatten UUID an LL wenn man einloggt. Er meldet sich regelmäßig und sendet Statistiken an LL, und da ist dann nicht nur die IP bekannt, sondern auch GPU-String, GPU-String, RAM usw.

Das kann alles nur LL sehen, aber auch nur die geht es was an welcher Alt zu wem gehört. Dass LL die IP hat ist klar - aber sie geht andere User einfach nix an und das Wissen um die IP kann, wie im Beispiel des RP-Kampfes, bei dem wer mit einer DOS-Attacke nachhilft, sogar Nachteile mit sich bringen.
Aus gutem Grund leiten z.B. die meisten Game-Server die IP eben nicht weiter.

Und wie gesagt: die meisten IPs lassen sich über getpos.de :: geolocating services u.a. schon recht genau geografisch Orten. Einfach weil es zu den meisten IPs auch eine geographische Angabe in einer der Datenbanken gibt. Und da es z.B. in München keine 150 000 SL-User gibt, da ist der User, der z.B. aus Pasing kommt, eventuell einer von 5 Usern aus der Gegend. Und der User, der aus Pasing kommt und z.B. Metal mag und in entsprechenden Clubs in SL unterwegs ist, der ist dann einer von einem.

Aber man kann auch einfach das Web-on-a-prim ausmachen und nur an sicheren Orten anmachen, dann hat man ein Sicherheitsloch weniger.

Denn man kann nicht nur, wie beschrieben, per Exploit die auf dem Rechner installierten Programme und deren Einstellungen abfragen - theoretisch kann man auch eines der zahlreichen Löcher auch ausnutzen um etwa über diese Updatefunktion in Flash bzw. Quicktime u.ä. Schadcode auf den Recher zu laden, sprich einen Trojaner o.Ä. mit dem dann z.B. im worst case das SL Passwort ausgelesen und die Kreditkarte bis zum Limit belastet und anschließend das L$-Konto abgeräumt wird.

Klar kann das letztendlich jeder halten wie er will - aber solange LL da nicht grundlegende Sicherheitsmaßnahmen einbaut bleibt zumindest bei mir diese Funktion fast immer aus. Ich hab schon jetzt den Media-Stream fast immer aus und mach ihn nur noch bei Bedarf an. Und ich verkneif es mit auf irgendwelchen russischen oder brasilianischen Hackerseiten zu surfen - da werd ich ganz sicher nicht zulassen, dass ich in SL von anderen auf sowas gesurft werde...
 

Takeshi Newman

Freund/in des Forums
was mich wundert ist das die Anzeige scheinbar zwischen den Viewern von verschiedenen Leuten syncronisiert wird. Ich dachte zu anfang jeder sieht z.B. eine Website für sich, doch ich sehe auch die Änderung wenn jemand anderes auf der Website Links benutzt. Ich finde das bringt Nachteile.
 
Und dass es z.B. in Quicktime immer noch Exploits gibt ist z.B. an der netten Bot-Detection Gemini CDS Relay von Skills Hak zu sehen:

Das Ding ist in den SL Blogs ( https://blogs.secondlife.com/thread/10467?start=0&tstart=0 )bzw. in den opensource-dev listen viel diskutiert worden, und so wie es aussieht benutzt vermutlich dieses Client-Detection-System Relay einfach den media Stream um sich über einen Quicktime Exploit (in diesem Fall ein Exploit der Update Funktion) eine Übersicht über den AppData bzw. Anwendungsdaten Ordner und damit über die auf dem Rechner installierten Programme zu verschaffen. Und wenn dort ein entsprechendes Programm gefunden wird, dann kommt der Ava auf die globale Banlist.
Auch wenn man gar nicht mit dem Bad Client eingeloggt ist. Es reicht ihn installiert zu haben und online zu sein.

Ich kenn mich mit Internet so nicht aus. Weiß wie man es an und aus macht. Bin halt in solchen Sachen keine Leuchte. Ich weiß wie man es nutzt und Spass haben kann, aber im großen und ganzen ist das für mich nur eine riesige Spielekonsole, mehr nicht.

Aber um mal auf das Rotgeschriebene zurückzukommen. Vielleicht liege ich ja mit meinem Verständnis da falsch... Da ist also dieses Geminiprogramm, das meinen Rechner ausspioniert welchen Klienten ich nutze. Wenn ich einen falschen Klienten habe werde ich automatisch gebannt, und theoretisch könnten die mit diesem Programm noch andere Daten von mir erfahren, quasi von der IP Adresse bis hin zum letzten Tagebucheintrag, den ich vielleicht auf meinem Word Tagebuch hinterlassen hab.

Wenn mal das ganze anders anfangen würde. Wenn ich mich in anderer Leute Computer hacke, sei es um Daten auszuspioniereren, oder um anderen zu helfen zum recht zu kommen, dann muss ich aufpassen das ich nicht in den Knast komme. Aber die dürfen das? Das kommt mir ein reichlich dubios vor das ganze.

LG Belli
 

Shirley Iuga

Forumsgott/göttin
I
Aber um mal auf das Rotgeschriebene zurückzukommen. Vielleicht liege ich ja mit meinem Verständnis da falsch... Da ist also dieses Geminiprogramm, das meinen Rechner ausspioniert welchen Klienten ich nutze. Wenn ich einen falschen Klienten habe werde ich automatisch gebannt, und theoretisch könnten die mit diesem Programm noch andere Daten von mir erfahren, quasi von der IP Adresse bis hin zum letzten Tagebucheintrag, den ich vielleicht auf meinem Word Tagebuch hinterlassen hab.

Wenn mal das ganze anders anfangen würde. Wenn ich mich in anderer Leute Computer hacke, sei es um Daten auszuspioniereren, oder um anderen zu helfen zum recht zu kommen, dann muss ich aufpassen das ich nicht in den Knast komme. Aber die dürfen das? Das kommt mir ein reichlich dubios vor das ganze.

Hierzulande riskiert man wegen sowas bis zu 3 Jahre Haft für das "Ausspähen von Daten", d.h. das wird durchaus als ernstes Verbrechen angesehen, in den USA sieht es je nach Bundesstaat ein bisschen anders aus, da ist das je nach Bundesstaat ein bisschen anders. Meist ist aber das Eindringen in private, nichtkommerzielle fremde Netzwerke und das Umschauen dort lediglich "geringes Vergehen", was aber trotzdem noch ein paar Monate Haft und vor allem mehrere tausende US-$ Strafe kosten kann.
Zu einem schweren Verbrechen wird es erst, wenn man das Ganze in Betrugsabsicht macht.

Das Problem ist nun, dass man das nicht ohne weiteres Nachweisen kann, aber nachdem der Händler eben behauptet, dass sein Programm allein schon installierte Viewer findet, auch wenn er sie benutzt (und nachdem andere aus dem Umfeld das bestätigt haben...) kann man davon ausgehen, dass genau das passiert - zumal diese Lücken in Quicktime/Flash usw. ja auch bekannt sind. Wenn man keinen Logger für seinen Internettraffic hat, dann weiß man so nicht mal, wen man überhaupt anzeigen muss...
 
Mir wäre es lieber gewesen, wenn sie das Gegenteil gemacht hätten, sprich SL in Websites zu integrieren.

Ansonsten ist es ein nettes Feature welches uns Webseitenbetreiber den Aufwand ein bisschen schmälert.
 
P

Paulchen Peapod

Guest
Ja, schaun wa mal.. aber ich finde dieses feature mal richtig cool :)
Ich denke, dass wird nur ne Frage der Zeit sein, bis Emerald, co. es einbinden werden.

Schlecht ist dieses Feature für youtube Fernseher Verkäufer, die brauch man dadurch nicht mehr wirklich :D

Moin moin...

also 1. der Emerald hat diese Funktion ja schon...allerdings braucht man dafür eine Media Textur (verbessere mich jemand der es besser weiss).

und 2. mal im ernst...wer kauft denn in SL noch einen YouTube Fernseher? Die bekommt man doch FREE hinterhergeworfen!
 
LSL kennt den HTTPRequest, den ich schon länger verwende, um Prims innerhalb SLs mit einer Datenbank (per PHP) anzbinden...

Das ist mir natürlich bewusst, da ich sehr viele solcher Requests täglich von SL aus mache. ;)

Was ich besser finden würde, wäre ein Viewer zu haben, den man in den gängigen Browsern anzeigen könnte um dort die Landschaft usw. zu zeigen. Das wäre für mich "SL in Websites integrieren".

Bitte schreib mich an, wenn du ein solches "Skript" hast. :)
 
Was ich besser finden würde, wäre ein Viewer zu haben, den man in den gängigen Browsern anzeigen könnte um dort die Landschaft usw. zu zeigen. Das wäre für mich "SL in Websites integrieren".

Bitte schreib mich an, wenn du ein solches "Skript" hast. :)

Mir fällt da ad hoc das Ajaxlife-Projekt ein, allerdings weiß ich nicht, ob das noch weiterverfolgt wird. Als reine Textalternative gibt es Metabolt, habe ich auf meinem Netbook eine Weile verwendet (das war für eine Graphikdarstellung zu lahm).
 
Also ich verstehe die ganze Aufregung nicht so richtig.
1. So einfach eine IP rauszukriegen, braucht es doch noch immer einen Staatsanwalt und die Mithilfe meines Providers.
2. Wenn ihr eine Homepage betreibt, seit ihr ja eh verplichtet Euere Adresse im Impressum anzugeben.
3. Keiner ist gezwungen seine Homepage über htlm on a prim zu veröffentlichen.

Also, bitte erklärt mir mal wo das Problem liegt !
 

Aktive User in diesem Thread

Oben Unten