Kommentare zu: Kommentar-Avatare: Gravatare geben E-Mail-Adressen der Nutzer frei

Von: Anonymous

Anonymous — Sat, 11 Feb 2012 18:48:00 +0000

Ich glaube die meisten hier verstehen dass eigentliche Problem nicht wirklich. Das Webcrawler diesen Content auslesen ist sicherlich möglich, doch das wirklich gravierende Problem ist, dass Gravatar und andere dubiose Unternehmen durch die Verwendung ihrer “zentralen” Plattform ein komplettes Profil eurer Daten haben und diese ohne weiteres an alle möglichen Interessierten verkaufen!!! Oder glaub hier noch jemand daran, dass Facebook, Google und Co. eure Daten nicht weitergeben und die ganzen Spam-Mails nur aus Zufall zu euch kommen..?

Noch einmal zusammengefasst welche Sicherheitslücken Gravatar bietet:

1. Gravatar sammelt alle eure Interessen (man kommentiert keine uninteressanten Blogs)
2. Gravatar erstellt ein ausführliches Profil über euch
3. Gravatar verkauft diese Daten an interessierte Unternehmen
4. Ihr werdet massenhaft Spam aus unbekannten Quellen bekommen

aber es hat auch seine Vorteile: Ihr werdet künftig für euch interessanten Spam bekommen..

Von: Wingi

Wingi — Fri, 18 Dec 2009 19:57:55 +0000

Danke den Vorrednern. Wenn der Schreiberling selber schon nicht sicher ist, sollte er es lassen, nur um ein paar Klicks mehr zu bekommen. Um Spam zu erstellen, frage ich doch nicht erst gravatar sondern schicke ich die Emails gleich zu den geratenen mailprovidern. Geht auch ganz schnell!

Von: Otto

Otto — Thu, 17 Dec 2009 09:09:30 +0000

Ich empfehle den Schreiber des Artikels mehr Journalistisch zu arbeiten. Etwas mehr Recherche und nicht so viel “Dummschwatz”.

Von: caschy

caschy — Wed, 16 Dec 2009 22:25:47 +0000

Aha, bin also nicht nur ich der hier den Sinn des Beitrags nicht so rafft. Und mein Hirn klinkte letztendlich aus bei:

Es gibt da jemand, der sie zuspammt? Der gemein ist oder einfach nur nervt? Hier ist seine E-Mail-Adresse!

Wo ist der Zusammenhang?

Von: ixiter

ixiter — Wed, 16 Dec 2009 17:16:09 +0000

Die Überschrift ist so falsch wie sie falsch sein kann. Gravatar gibt gar nix frei. Völliger Unsinn.
Tatsächlich ist es mir raten möglich, evtl. die Emailadresse die zum angezeigten Gravatar gehört, rauszufinden. Das funktioniert aber eben nur, wenn es tatsächlich so ist, das der Username ein Teil der Emailadresse ist, und der emailprovider, also die Domainangabe hiner dem @, zu den Vermuteten gehört.
Es ist wesentlich einfacher, z.B. EMailadressen von Mitarbeitern irgendwelcher Firmen zu bekommen. Die Adressen für die Mitarbeiteraccounts werden immer nach einem Muster vergeben. Wie macht BT das? Oder plusserver? Gibt es evtl. avatter@basdicthinking.de, oder a.vatter@plusserver.de? Oder irgendwas ähnliches naheliegendes?
Um die Tatsache, dass es Emailadressen gibt, die einem Muster entsprechen das leicht herauszufinden ist, wenn man einen Teil des Realnamens oder den Usernamen kennt, ist nichts neues. Darum so eine Bohei zu machen und es gleich so dramatisch und auch falsch darzustellen, finde ich ein bisschen hysterisch.
Spam bekomme ich auch so genug. Auch ohne gravatar. Zum Glück filtert google das meiste schon heraus. Den Rest tut Thunderbird. Und die paar die dann noch durchkommen, sind eher erheiternd als lästig.
So, und wer jetzt gut aufgepasst hat, kann auch ohne Rainbowtable und ohne MD5 Encoder schnell herausfinden, wie wohl eine meiner Emailadressen lautet.
Nein danke, ich brauche kein Viagra.
Wer sich trotzdem gerne kryptische MD5 Hashes und andere anschaut, kann das gerne in meinem Hash-Code Generator testen .. von mir aus auch bis er MD5: c8b4ea67dc350369494fc76d769300d6 als Ergebnis sieht.
Für André Vatter muss man übrigens so lange testen, bis man ein MD5: c0d218c83438975cdf5a76c9d1d6ad3e sieht.

Von: Dominic

Dominic — Wed, 16 Dec 2009 16:44:54 +0000

Also MD5 ist definitv _nicht_ rückschlüsselbar, das ist ausgeschlossen. Wie allerdings ” DunkleAura” (9) schon schribe, existieren sog. “Rainbow” Tables, mit denen z.B. Passwörter erkannt werden können. Das “Problem” bei MD5 hashes ist einfach, das ein und derselbe String immer den gleichen hash erzeugt (was auch sinnig ist, aber eben auch gefährlich). Dadurch braucht man eigentlich nur einen Datenbestand von X Passwörtern, und versucht einfach den login durchzuführen, solnage bis es klappt. Fertig.

Bei Email Adressen ist dqs was anders, da muss man, wie eben oben grob beschrieben, “basteln” und abgleichen.

Sicherer ist einfach Salted MD5 (da wird noch ein Teil des hashes wieder verschlüsselt und angehängt) oder SHA1 (oder äquivalente) Verschlüsselungen.

Von: Johannes

Johannes — Wed, 16 Dec 2009 14:36:44 +0000

Google, übernehmen Sie! ;-)

Von: iNAND

iNAND — Wed, 16 Dec 2009 14:17:39 +0000

@Simon:
Du hast recht. Als ich den Kommentar vorhin geschrieben habe war mir das Prinzip von Gravatar nicht ganz klar. Das ganze funktioniert nur wenn die Umrechnung Email->Hash, reproduzierbar und öffentlich zugänglich das selbe Ergebnis liefert. Mit Salz kann man das nicht lösen.
Mir würden zwar noch ein paar DInge einfallen die Sicherheit zu erhöhen. Dazu müsste Gravatar, allerdings seine Architektur ändern. Beispielsweise eine Anfrage seitens WordPress an den Gravatar Server, einen md5-hash in eine unique id umzuwandeln. Gravatar könnte die maximale Anzahl an anfragen auf bspweise 100 pro Std begrenzen. Brute Force Attacken könnten so umgangen werden. Wer mehr benötigt kann einen pro account beantragen

Von: Simon

Simon — Wed, 16 Dec 2009 13:28:31 +0000

@iNAND:
Aber mit einem Salt könnte doch Gravatar die hinter dem Hash stehende E-Mail-Adresse nicht mehr rausfinden, oder irre ich mich?
Es sei denn, es würde überall der gleiche Salt benutzt, aber dann macht der Salt ja wieder keinen Sinn. Außerdem müsste der Salt bekannt sein, sonst kann ich ja den Hash für die Gravatar-URL nicht selbst generieren.

Von: Chris

Chris — Wed, 16 Dec 2009 13:24:50 +0000

Das Problem ist, dass der Algorithmus, mit dem der Hash erzeugt wird, öffentlich bekannt sein muss, damit er auch in der Software verwendet werden kann. Das ist also keinesfalls ein Problem von MD5. Denn Bute-Force Methoden kann man an jedem Hash Algorithmus durchführen. Mit SHA-1 oder besser wäre es also nicht anders gelaufen. Das einzige, was man machen kann, ist einen Salt (Salz) mit in den zu kodierenden String zu streuen. Das heißt, nach jedem Buchstaben bspw. die Zahl 7 einfügen. Das erschwert dann die Verwendung von vorberechneten Tabellen, sog. Rainbow-Tables.
Diese kann man aber dann aber auch wieder selbst berechnen. Dauert zwar Lange, funktioniert aber.

Von: Tweets die Kommentar-Avatare: Gravatare geben E-Mail-Adressen der Nutzer frei | Basic Thinking Blog erwähnt -- Topsy.com

Wed, 16 Dec 2009 12:47:49 +0000

[...] Dieser Eintrag wurde auf Twitter von conception, Marius Müller erwähnt. Marius Müller sagte: #Kommentar #Avatare: #Gravatar geben E-Mail-Adressen der Nutzer frei | BasicThinking http://ow.ly/MDzx #wordpress [...]

Von: Thomas Arbs

Thomas Arbs — Wed, 16 Dec 2009 12:09:24 +0000

Ich zeig das mal an einem Beispiel: Kommentator #1 ist der arme Captain Obvious. Er nennt sich David. Und er hat eine Domain für sein Blog. Hmmm. Ob er wohl david [at] seiner.domain heißt? Schnell getestet: nö. post? info? mail? einen MD5-Generator gegooglet, und jeder kann es selbst testen…

Von: DunkleAura

DunkleAura — Wed, 16 Dec 2009 12:02:32 +0000

@Die Meisten:
irreversibel oder nicht, spielt gar keine rolle. es gibt da eine ganz einfache zutat die nennt sich «Rainbow Table» (nährere infos auf wikipedia).

@iNAND:
wohl wahr, mit salz schmeckt «das essen» einfach besser.

Von: Thomas Arbs

Thomas Arbs — Wed, 16 Dec 2009 12:00:04 +0000

Jahaaa. Das klingt ja aufregend. Ob es das aber ist?

1. Es ist möglich und einfach, Gravatar-Daten zu “ernten”: Stimmt sicher, zig Blogs benutzen das Zeug, ein Skript kann das ohne weiteres tun.
2. Es ist möglich, einen MD5-Hash mit Brute Force rekursiv zu knacken: Es ist zumindest nicht trivial. Es ist aber natürlich leichter, wenn man die Bestandteile Benutzername, “at” und Mailanbieter kennt, ein “crib” nennt man das.
3. Der Benutzername und ein geratener bekannter Mail-Anbieter bilden die E-Mail-Adresse: Das ist eben Spekulatius. Ich kann in das Feld “Name” schreiben was ich will, von Gravatar geprüft wird eben nicht das, sondern nur die Mailadresse. Nur wenn ich also zwischen Name und Mailadressenteil einen Bezug habe, gebe ich also etwas preis. Und bei einem der paar großen Mailanbieter bin ich ja auch nicht zwangsläufig.

Was hat der kluge Mann also wirklich getan? Er hat einen “educated guess” gemacht, Namensfeld = Mailname und Anbieter = einer von einer Handvoll, hat den Hash gegen die Handvoll “cribs” per Skript automatisiert getestet und festgestellt, daß einer davon in ca. 10% der Fälle zutrifft. Was hat Gravatar also preisgegeben? Nur die Bestätigung dieses Geratenen. Wenn ein Spammer auf diese Weise Adressen ernten will, kann er sich den Zwischenschritt sparen und gleich an jede der geratenen “cribs” Spam schicken, wenn dann vier zurückkommen und eine ankommt, war er auch erfolgreich.

Mit echten “educated guesses” kann man noch weiter gehen. So haben viele Blogger Gravatars, viele Blogger haben auch eigene Domainadressen, die geben wir hier preis, und wenn wir dann unsere Mailadressen statt bei GMX bei unseren Domains haben, dann kann man auch die herleiten (genau, die könnten dann info, post, mail usw. heißen, wenn uns die ganze Domain gehört – nix Neues). Und auch das könnte das Skript gegentesten. Aber auch hier wieder: Spammer denken nicht so kompliziert. Die schicken einfach die vielen Mails, eine wird schon ankommen.