Kritik und Fragen an Nickles 2.722 Themen, 23.153 Beiträge

Cross-Site-Scripting auf Nickles.de ?

SyntaxError2 / 30 Antworten / Baumansicht Nickles

Beim stöbern im Forum bekam ich heute des öfteren die Warnung von NoScript, dass ein möglicher Cross-Site-Scripting Versuch auf Nickles.de blockiert wurde.

Was ist da im Busch? Hat noch jemand solche Warnungen erhalten?

bei Antwort benachrichtigen
mawe2 SyntaxError2 „Cross-Site-Scripting auf Nickles.de ?“
Optionen

Diese Warnungen kriege ich schon seit Längerem.

Mich würde auch interessieren, was dafür die Ursache ist.

Gruß, mawe2

bei Antwort benachrichtigen
SyntaxError2 mawe2 „Diese Warnungen kriege ich schon seit Längerem. Mich würde...“
Optionen
Diese Warnungen kriege ich schon seit Längerem.

Die Warnung habe ich heute das erste Mal, dafür aber bei fast jedem zweiten Klick.

Ist wohl mit der Modernisierung von Nickles.de noch nicht alles zum Besten. Es "pfuschen" dann jetzt doch zu viele "Drittanbieter" mit externen Inhalten in der Webseite herum.

bei Antwort benachrichtigen
mawe2 SyntaxError2 „Die Warnung habe ich heute das erste Mal, dafür aber bei...“
Optionen
Die Warnung habe ich heute das erste Mal, dafür aber bei fast jedem zweiten Klick.

Bei mir erscheinen diese Warnungen nur gelegentlich.

Ist wohl mit der Modernisierung von Nickles.de noch nicht alles zum Besten.

Dieses Cross-Site-Scripting gab es auch schon vor der Modernisierung.

bei Antwort benachrichtigen
SyntaxError2 mawe2 „Bei mir erscheinen diese Warnungen nur gelegentlich. Dieses...“
Optionen
Dieses Cross-Site-Scripting gab es auch schon vor der Modernisierung.

okay...
viel mir bis jetzt nicht auf. Hatte bis vor kurzem nur die Scripte von Nickles.de erlaubt.
Mit der Neuerung und der entsprechenden Diskussion über das Zulassen der Werbung auf Nickles war ich dann der Ansicht, man könnte alle Beschränkungen aufheben. (ersatzweise die sonntägliche Kollekte direkt zu MN schickenWeinend)
Auch mit dem Hintergrund, dass mit Blockierung von Drittanbieter-Scripten die Ladezeiten der Seite eine Zumutung sind/waren, aber so gefällt mir das auch nicht wirklich.
------------------------------
NACHTRAG:
@VIP:  "..Beitrag verschoben nach"Kritik an Nickles"..."
Dies sollte keine Kritik werden, vielmehr sehe ich in dieser Meldung eine potentielle Gefahrenlage.
Es sei denn der Umstand ist Euch als Webmaster bekannt und hat einen "harmlosen" Hintergrund...welcher einer Erklärung bedürfen würde!...Zwinkernd

bei Antwort benachrichtigen
wapjoe SyntaxError2 „okay... viel mir bis jetzt nicht auf. Hatte bis vor kurzem...“
Optionen

Hi SyntaxError,

ich hab mich grad mal damit befasst, auch mal Noscript installiert, ich bekomme diese meldung nicht, scheinen vielleicht Einzelfälle zu sein, aber es wurde bereits intern weitergegeben und der Admin schaut sich das auch mal an!

Was mir Komisch vorkommt, ist dabei die Url:
farm.plista.com/like.php?fbparams...etc. das hat was mit facebook und volkswagen.karriere zu tun, hast du in FB bei Volkswagen.Karriere mal auf gefällt mir geklickt?

Ich weiß nicht genau wie die plista-Werbung funktioniert, aber vorstellen könnte ich mir, dass da (wie bei vielen Werbeanbieter) bevorzugt Werbung eingeblendet wird, auf die man schon mal reagiert hat.

Gruß
wapjoe

bei Antwort benachrichtigen
SyntaxError2 wapjoe „Hi SyntaxError, ich hab mich grad mal damit befasst, auch...“
Optionen

Hallo wapjoe,

hast du in FB bei Volkswagen.Karriere mal auf gefällt mir geklickt?

facebook habe ich noch nie genutzt und werde dies wahrscheinlich vor 2050 auch nicht tun. Jeden Gaul muss ich nicht reiten. Aber das mit der externen Werbung könnte ein heißes Eisen werden - kann man doch nie sicher sein was man untergejubelt bekommt.

bei Antwort benachrichtigen
wapjoe SyntaxError2 „Hallo wapjoe, facebook habe ich noch nie genutzt und werde...“
Optionen

Hmm, okay, klärt dass damit nicht auf, aber wir können dann die FB-Geschichte deinerseits abhaken, also muss es an was anderem liegen.

Der Admin, bzw. die Redaktion wird sich darum kümmern!

Gruß
wapjoe

bei Antwort benachrichtigen
mawe2 wapjoe „Hi SyntaxError, ich hab mich grad mal damit befasst, auch...“
Optionen
ich bekomme diese meldung nicht, scheinen vielleicht Einzelfälle zu sein

Bei mir sind es auch Einzelfälle.

Mit facebook / gefällt mir usw. hat es bei mir definitiv nicht zu tun, da ich alles was damit zusammenhängt geblockt habe. Habe auch nie einen FB-Account o.ä. besessen.

Grß, mawe2

bei Antwort benachrichtigen
SyntaxError2 Nachtrag zu: „okay... viel mir bis jetzt nicht auf. Hatte bis vor kurzem...“
Optionen

Nachtrag zum NACHTRAG:

"...nicht im optimalen Bereich..." (aus mail)
SchlitzohrZwinkernd!! So ist der Beitrag auf "Neue Diskussionen" verschwunden.
Netter Versuch! jetzt hätte ich erst recht gerne eine Klärung der Umstände!

bei Antwort benachrichtigen
Knoeppken SyntaxError2 „Nachtrag zum NACHTRAG: "...nicht im optimalen Bereich..."...“
Optionen
Netter Versuch! jetzt hätte ich erst recht gerne eine Klärung der Umstände!

Ich kann deinen Beitrag hinschieben wohin du möchtest, auch gerne wieder zurück. Zwinkernd
Da du die Meldung auf Nickles.de erhalten hast, dachte ich mir es geht uns alle an, außerdem gab ich es sofort intern weiter und der Admin und die Redaktion kümmern sich bevorzugt um dieses Brett hier..

Aber wie schon erwähnt, wenn du keine schnelle Aufklärung möchtest, verschiebe ich den Beitrag wohin du möchtest, kein Problem. Lächelnd

Gruß
knoeppken

Computer sind großartig. Mit ihnen macht man die Fehler viel schneller.
bei Antwort benachrichtigen
SyntaxError2 Knoeppken „Ich kann deinen Beitrag hinschieben wohin du möchtest, auch...“
Optionen

Sorry!
wollte keinen Wind machen, Du weisst am besten, wo das Thema hinpasst.
Es freut mich, dass Ihr der Sache auf den Grund geht.
Noch mehr würde mich freuen, wenn es sich als  harmlos erweisen würde.

bei Antwort benachrichtigen
mawe2 Knoeppken „Ich kann deinen Beitrag hinschieben wohin du möchtest, auch...“
Optionen

Das Problem ist nur, dass diejenigen, die sich (wie ich) primär über "Neue Leserbeiträge" über neue Fragen informieren, diesen Thread gar nicht zu sehen bekommen. Und das ist schade, denn die Frage war ja, wer dieses Cross-Site-Scripting noch beobachtet hat. Nun werden viele potentielle Meldungen zu diesem Thema gar nicht erst geschrieben...

Weil ich beobachtet hatte, dass der Beitrag nach "Kritik..." verschoben wurde und damit bei "Neue Leserbeiträge" nicht mehr auftauchte, habe ich bei "Allgemeines" einen Thread mit Bezug zu der Frage von "SyntaxError2" eingestellt in der Hoffnung, dass der dann wenigstens für alle sichtbar bleibt. Aber auch dieser Thread wurde auf "Kritik..." verschoben.

Somit wird eine breite Diskussion (und die Möglichkeit, dass weitere Leute das beobachtete Cross-Site-Scripting melden) verhindert.

Gruß, mawe2

bei Antwort benachrichtigen
Michael Nickles SyntaxError2 „Nachtrag zum NACHTRAG: "...nicht im optimalen Bereich..."...“
Optionen

Ich weiß nicht was Du mit "netter Versuch" unterstellen willst. Hier ist nichts "verschwunden". Zu Deiner Frage wegen der "Cross Scritpting"-Meldung: ich habe keine Ahnung woher das bei Dir kommt.

Wir werden das bei Gelegenheit untersuchen. Mit Gelegenheit meine ich, dass das nicht heute Nacht passieren wird und vermutlich auch nicht morgen, sondern dann, wenn freie Zeit dafür besteht.

Alle Verschwörungs- und Spionagetheoretiker dürfen sich jetzt gerne ihre Popcorn-Tüten holen. Am Ende wird sich die Geschichte wie (bislang immer) simpel technisch beantworten lassen. Und es wird sich herausstellen, dass es keinen Grund zur Aufregung gab.

Grüße,
Mike

bei Antwort benachrichtigen
SyntaxError2 Michael Nickles „Ich weiß nicht was Du mit "netter Versuch" unterstellen...“
Optionen

Hi Mike,
unterstellen will ich garnix!

also bitte reg Dich nicht auf-ist nicht gut für die Nerven!
please cool down!
Hol dir lieber ein Bierchen (oder besser zwei - eins für mich).Lächelnd
Das gefällt mir an Nickles: hier ist doch immer wieder was los!

bei Antwort benachrichtigen
Michael Nickles SyntaxError2 „Hi Mike, unterstellen will ich garnix! also bitte reg Dich...“
Optionen

Okay. Zwei Bier gehn noch, prost.

bei Antwort benachrichtigen
SyntaxError2 Michael Nickles „Okay. Zwei Bier gehn noch, prost.“
Optionen

...und ich? -->Kühlschrank leer!
Schade dass es noch kein "Bräurop" gibt, sonst könntest Du mir eins schicken, zum Wohl!

bei Antwort benachrichtigen
gelöscht_305164 SyntaxError2 „Die Warnung habe ich heute das erste Mal, dafür aber bei...“
Optionen
Die Warnung habe ich heute das erste Mal, dafür aber bei fast jedem zweiten Klick.

Kann ich nicht bestätigen.
Ich bin der Erste, der ausrastet, wenn solche Meldungen kommen. 

Normalerweise blockiert bei mir im Vorwege openDNS solche Seiten.
Bei .nickles ist mir das noch nie passiert.
Mach Dir mal Gedanken über Deinen Rechner.
bei Antwort benachrichtigen
gelöscht_189916 gelöscht_305164 „Kann ich nicht bestätigen. Ich bin der Erste, der...“
Optionen
bei Antwort benachrichtigen
SyntaxError2 gelöscht_189916 „Hi Das kann auch einfach eine Falschmeldung von NoScript...“
Optionen

Hallo - Hallo!

Das kann auch einfach eine Falschmeldung von NoScript sein:

Davon geh ich jetzt auch einmal aus, zumal heute absolute Ruhe herrscht. - Danke für die Links.

@Lockenfrosch:

Mach Dir mal Gedanken über Deinen Rechner.

War natürlich meine erste Befürchtung. (zwecks "Paranoia"  ...geht schnell im InternetZwinkernd)
Meinem bescheidenen Kenntnisstand nach ist der Rechner jedoch sauber.
Der hauseigene "Nachtwächter" und zwei externe Kollegen melden: "Keine besonderen Vorkommnisse". Wenn die drei keine Falschaussage abgesprochen haben - ich will ihnen mal glauben.

...wünsche noch schönen Sonntag (da wo es nicht regnet...) SE2

bei Antwort benachrichtigen
xafford SyntaxError2 „Hallo - Hallo! Davon geh ich jetzt auch einmal aus, zumal...“
Optionen

Hallo Syntax Error2,

diese Meldung wird nicht direkt durch Nickles verursacht und ist auch nicht wirklich ein XSS, es beruht auf der Plista-URL, da diese Parameter enthält, die auch als Attribute von HTML-Elementen interpretiert werden könnten dem Namen nach. Hier scheint NoScript etwas über zu reagieren.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
SyntaxError2 xafford „Hallo Syntax Error2, diese Meldung wird nicht direkt durch...“
Optionen

Hallo,

zuerst mal möchte ich betonen, dass ich nicht vermutet habe, dass es auf dieser Webseite Probleme mit Schadware gibt oder gab.

Mir erschien es nur interessant, warum ich wiederholt eine XSS-Warnung bekomme.

Speziell nach der Umstellung dieser Seite - und sonst auf keiner anderen Seite, auf der ich sonst noch unterwegs bin/war. So erschien es mir naheliegend, dass die Meldung mit der Änderung und somit technischer Natur sein könnte.

Deswegen fragte ich nach, um evtl. den Grund zu erfahren. Dass Ihr als Betreiber da gleich nervös werdet konnte ich ja nicht ahnen (vor allem Mike ist dadurch um Jahre gealtertZwinkernd).

Ich finde es aber nicht unwesentlich, solche Sachen zu prüfen - wenn es auch etwas Stress bereitet.

Ich kann nur noch die folgende INFO geben:
Auf manchen Seiten von Nickles.de werden inhalte von "turn.com" eingebunden.
Meiner Beobachtung nach wird auch dann die XSS-Warnung ausgegeben.
Da ich auch WOT am Laufen habe, und eben diese Seite einen grottenschlechten Ruf bei denen hat, vermute ich hier mal einen Zusammenhang?

Wenn wir gerade dabei sind: "heias.com" verursacht manchmal eine Verzögerung des Ladens der Seite um bis zu 5 Sek.

evtl. sind diese Hinweise hilfreich für Euch - -und: Ja keinen Stress vermeiden

Grüße,
SE2

bei Antwort benachrichtigen
xafford SyntaxError2 „Hallo, zuerst mal möchte ich betonen, dass ich nicht...“
Optionen
zuerst mal möchte ich betonen, dass ich nicht vermutet habe, dass es auf dieser Webseite Probleme mit Schadware gibt oder gab.

Hatte ich aus deinem Post auch nicht heraus gelesen und war auch nicht der Grund warum ich geantwortet hatte.

So erschien es mir naheliegend, dass die Meldung mit der Änderung und somit technischer Natur sein könnte.

Nun, mit der Änderung als solches hat es nichts zu tun, es hat allerdings damit zu tun, dass die Werbung jetzt wieder drin ist in der Seite nachdem sie zwischenzeitlich nicht eingebaut war, deswegen KONNTE die Meldung in der Zeit auch nicht auftauchen.

Warum sie auf anderen Seiten nicht erscheint, aber hier kann ich Dir nicht zu 100% beantworten, habe allerdings die Vermutung, dass es mit Einstellungen für das Erscheinungsbild der Werbung zu tun haben könnte die eventuell auf anderen Seiten die Plista verwenden nicht verwendet werden (bist Du sicher, dass Du auf anderen Seiten überhaupt schon Plista begegnet bist?).

Dass Ihr als Betreiber da gleich nervös werdet konnte ich ja nicht ahnen

Na wer als Betreiber bei einem Hinweis auf eventuelle Sicherheitsprobleme nicht erst mal nervös wird, der macht meiner Meinung nach was falsch :)

vor allem Mike ist dadurch um Jahre gealtert

Nö, Mike sieht schon so alt aus seit ich ihn kenne ;) *in deckung geh*

Ich finde es aber nicht unwesentlich, solche Sachen zu prüfen - wenn es auch etwas Stress bereitet.

Dem stimme ich zu, prinzipiell muss man jedem Hinweis nachgehen, das Web ist kein Ponyhof und schon unsicher genug.

Auf manchen Seiten von Nickles.de werden inhalte von "turn.com" eingebunden. Meiner Beobachtung nach wird auch dann die XSS-Warnung ausgegeben. Da ich auch WOT am Laufen habe, und eben diese Seite einen grottenschlechten Ruf bei denen hat, vermute ich hier mal einen Zusammenhang?

Das kann ich nicht generell ausschließen, da die komplette Werbevermarktung nach dem Einbinden der Werbeskripte des Werbepartners (Google oder Plista) nicht mehr in der Hand des Seitenbetreibers liegt - ab dem Punkt muss man (leider) dem Vermarkter vertrauen dass er entsprechend überprüft was er an Werbung ausliefert. Ich bin auch niemandem böse der da entsprechend Skripte aus solchen Quellen komplett unterbindet - das tue ich nicht anderst.

Wenn wir gerade dabei sind: "heias.com" verursacht manchmal eine Verzögerung des Ladens der Seite um bis zu 5 Sek.

 Hmmm... unschön, aber wie oben erwähnt leider nicht mehr in unserem Einflussbereich. In dem Fall würde ich empfehlen den über eine selbst gebastelte Regel in Adblock zu sperren - wenn sie ihre Skripte nicht schnell genug ausliefern können dann dürften sie das verdient haben ;)

evtl. sind diese Hinweise hilfreich für Euch

Sind sie... Danke.

Ja keinen Stress vermeiden

Wo denkst Du hin? Wir lieben Stress - wir stehen sogar manchmal nachts auf und machen uns welchen ;)

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
SyntaxError2 xafford „Hatte ich aus deinem Post auch nicht heraus gelesen und war...“
Optionen
(bist Du sicher, dass Du auf anderen Seiten überhaupt schon Plista begegnet bist?).

Nein, auf den Seiten, die ich regelmäßig besuche ist mir plista noch nie aufgefallen (achte in der Regel aber nicht auf die Werbung), Alles andere ist automatisch geblockt und bekommt nur erlaubt was muss um überhaupt zu funktionieren. Wenn sie es übertreiben - auf Wiedersehen.

Aber nebenbei: Könnt Ihr den Werbescripten nicht einfach den Vorrang entziehen, so dass die Inhalte von Nickles uneingeschränkt geladen werden - auch wenn die anderen Penner nicht nachkommen?

Nö, Mike sieht schon so alt aus seit ich ihn kenne ;)

...stimmt auch wieder: er wird mindestens 100 Jahre alt,

denn er sieht schon aus wie 99!

*in deckung geh*

...ich jetzt auch..

bei Antwort benachrichtigen
xafford SyntaxError2 „Nein, auf den Seiten, die ich regelmäßig besuche ist mir...“
Optionen
Aber nebenbei: Könnt Ihr den Werbescripten nicht einfach den Vorrang entziehen, so dass die Inhalte von Nickles uneingeschränkt geladen werden - auch wenn die anderen Penner nicht nachkommen?

Geht leider nicht, das ist eine Sache die der Browser erledigen muss - also Inhalte anzeigen, auch wenn ein Skript nicht nachkommt. Ist ärgerlich, aber da Werbung nun mal ein notwendiges Übel ist eben schwer bis gar nicht zu ändern.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
SyntaxError2 xafford „Geht leider nicht, das ist eine Sache die der Browser...“
Optionen

Wünsche schönen...allerseits,

um die Sache von meiner Seite aus zum Abschluss zu bringen, möchte ich nur Bescheid geben:
Seit ich die Scripte von "plista" und "heias" geblockt habe herrscht Ruhe im Karton. Es kommt keine XSS - Warnung mehr und die Seite wird einwandfrei geladen. So vermute ich mal, dass es an den beiden gelegen hat - (bei mir).
Wie dies zusammenhängt kann ich mir zwar nicht erklären, ob mit der Lokalisation, dem DNS-Server des Providers oder sonst was. Letztendlich egal - es ist Ruhe!

Zum Ausgleich für die geblockte Werbung klick ich dann ab und zu mal auf die G.-Werbung...(damit die Cents weiterfliessen...Weinend)

Danke an die Administratoren für ihre Bemühungen und sorry für den zusätzlichen Stress (...braucht ihr nicht extra aufstehen in der Nacht).

Ihr macht einen guten Job würde ich mal sagen! Lächelnd

Oha: Wo ist denn der Mike? hat der sich mit seinem Chivas im Keller eingeschlossen?...vor lauter Ärger

Grüße,

SE2

bei Antwort benachrichtigen
Michael Nickles SyntaxError2 „Wünsche schönen...allerseits, um die Sache von meiner Seite...“
Optionen

Chevas und Keller - ne nix. Mir hat es gestern die Haupt-Datenplatte zerknallt und seit dem bin ich am Reparieren und Backups zurückspielen. prost

bei Antwort benachrichtigen
SyntaxError2 Michael Nickles „Chevas und Keller - ne nix. Mir hat es gestern die...“
Optionen

...schöne  Be.Sche.rung!

Na dann, viel Vergnügen!

und prost!

bei Antwort benachrichtigen
wapjoe Michael Nickles „Chevas und Keller - ne nix. Mir hat es gestern die...“
Optionen

Oh Shit, hoffe du hast nicht zuviel verlust gehabt!

Ich kenn da nen guten Ratgeber:
http://www.nickles.de/c/s/praxis-festplatten-reparieren-tools-und-methoden-440-1.htm

Gruß
wapjoe ;-)

bei Antwort benachrichtigen
Michael Nickles wapjoe „Oh Shit, hoffe du hast nicht zuviel verlust gehabt! Ich kenn...“
Optionen

Ja thx, genau den Beitrag werde ich im Anschluss mal ergänzen. :-)

bei Antwort benachrichtigen
wapjoe Michael Nickles „Ja thx, genau den Beitrag werde ich im Anschluss mal...“
Optionen

also quasi ein Live-Bericht?! :-)

bei Antwort benachrichtigen