Wie eine chinesische Firma über 100.000 Websites gehackt hat 

Die automatisieren alles 😂 wenn du kein Bot bist, hast du's schwer. Aber um fair zu sein, du warst irre schnell

ich hätte lieber ein Boot

Ja und nein, ich hatte das mal ausprobiert und habe ein PS1 Script deobfuscated und beide Versionen ChatGPT analysieren lassen. Die deobfuscated Version hatte deutlich besser funktioniert was kein Wunder ist da ChatGPT auf normalem Code trainiert wurde

Ja und nein, also ja grundsätzlich schon, aber mit automatischem Update ist's dann nicht mehr. Zumal Scripts mittlerweile häufig vor package manager installiert sind, da hast du das quasi implizit

@@TheMorpheusTutorials das stimmt, wenn man auf latest geht klappt das nicht mehr ganz. Aber allgemein sollte man immer auf eine fixe Version gehen, um genau solche Dinge zu vermeiden 😁

Je weniger desto besser, weil weniger Abhängigkeiten. Aber alles selbst schreiben ist auch keine Option

Bei einer Website, die jemand anderes programmiert hat und ich jetzt mehr oder weniger betreuen darf, sind ca. 20 WordPress-Plugins installiert. Und eines davon nutzt wohl Polyfill (sehe es beim NoScript-Addon). Jetzt heißt es abwarten, bis der Plugin-Entwickler ein Update rausbringt. Ich selbst habe jedenfalls noch nicht die Stelle gefunden, an der ich den Code ändern und Polyfill selbst rausnehmen kann. Generell: Je weniger Plugins, desto niedriger die Gefahr, dass mal ein Plugin schadhaften Code einbettet oder sonstiges. Ist schon echt nervig, wenn man in so viele Abhängigkeiten verwickelt ist.

​@@TheMorpheusTutorialsWie kann man die Abhängigkeiten minimieren? Wie kann man die Abhängigkeiten analysieren?

@@TheMorpheusTutorials " Aber alles selbst schreiben ist auch keine Option" doch. weil frameworks nur machen alles unnoetig kompliziert und komplex, was eigentlich einfach ist mit basistechnologien. und den allermeistne mist was die frameworks mitliefern, braucht man eh nicht. und man braucht echt nicht fur jeden handgriff eine 3rd party lib, wie du schon sagst, je weniger desto besser, weil weniger abhengigkeiten. mein tecstak: linux-apache-commongatewayinterface-bash-html-js-css-sqlite. damit kriegst du jede crud-website mit leichtigkeit hin. steht eh alles in online-tutorials und examples. mein prototyp inda firma hat gleiche funktion wie die angular-produktivversion. aber angular is tausendmal mehr code und files. weil einfach wahnsinnig aufgeblasene bloatware. angular is made for ultraaufgeblasene enterpreis projekte. aber wir haben hier nur eine mini crud anwendung gebastelt. mit kanonen auf spatzen geschossen. hat sogar der chef bestetigt, dass eigentlich mein prototyp gereicht hette. aber sie wollten unbedingt ihren angular scheiss, weil es ja angeblich 'state of the art' sei...die spinnen. die wollen halt einfach vorm kunden eindruck schinden. hey kunde schau mal, wir benutzen voll das ultramoderne hitec angular framework, das benutzen alle, darum muss es super sein. lemminge. und im backend das gleiche, da setzen sie springboot ein. da hette auch mein apache-commongatewayinterface(cgi) mit bash scripting und sqlite gereicht. und es were viel einfacher ubersichtlicher verstendlicher und leichter wartbar geworden als dieses bloatwaremonster. was im endeffekt nur eine mini lecherliche crud anwendung ist.

@@marcol.9125 bitte das plugin beim wordpress Team melden. Externe JavaScript Seiten Verstößen gegen die Plugin Bestimmungen und die kümmern sich um einen fix.

Entschlüsseln kann ki nicht.

@@Vor10min. Warum sollte das nicht klappen ? 🤔

@@zerophonenumber Weil das einfach nicht der Zweck davon ist. KI ist für Mustererkennung und zusammengewürfelte Ergebnisse gemacht. Für richtiges Entschlüsseln gibt es effizientere Algorithmen, sofern man den Schlüssel kennt.

Weil sie nicht auf solchen Code trainiert wurde, gewisse Resultate sollte man trotzdem bekommen

Es haben einige versucht zu deobfuskieren mithilfe von ChatGPT, aber die Ergebnisse waren, weil ultra komplex, sehr falsch. So gut ist sie noch nicht

Vivaldi. Hab vor einer Weile gewechselt, mach noch ein Video dazu

@@TheMorpheusTutorials ah nice bin gespannt :)

Ich verstehe nicht wie du darauf kommst, closed source hat das gleich Problem. Unter MacOS gab es eine Zeit lang eine Systemkomponente die an VPNs vorbei kommunizierte. Was natürlich ein Risiko bedeuten könnte. Das zeigt das Nutzer von Closed Source Software auch bereit sein müssen, diese bei jedem Release vollständig zu dekompilieren, zu analysieren und in Labor Umgebungen alles testen

11:07 Den eigenen Browser stets aktuell zu halten, sollte wohl ein guter Ratschlag sein. Ansonsten gilt wohl wie überall: eine hundertprozentige Sicherheit gibt es nicht.

No script addOnNutzen. Dann sieht man, ob die Seite polyfill nutzt.

Beim script tag immer das "integrity" Property setzen, damit der Browser den Hash der Datei prüfen kann. So kannst du dir sicher sein, dass nur die Skript Version geladen wird, die du geprüft hast.

Man kann im HTML den Hash Wert der Datei die man vom CDN wert hinterlegen. Damit lässt sich ein solcher Angriff verhindern. Nennt sich integrity und ist ein sha384 wert

SCC? Du meinst bestimmt CSS. Und: The Java in JavaScript is like the Car in Carnival. Java braucht man für Webseiten allenfalls als Backendtechnologie. Es gibt z.B. da das ein oder andere CMS, das auf Java basiert, aber das wird dann serverseitig ausgeführt und kommt in deinem Browser gar nicht direkt an.

Ich vermute ja, denn die Community hatte ja schon issues erstellt

@@TheMorpheusTutorials , ja ok, aber hätte die erstmal alles beim alten gelassen, wie bei xz vielleicht sogar noch irgendwas auf Schein optimiert wären die bedenken eventuell ausgeräumt gewesen und diese chinesische Firma als neuer Besitzer des Projekts akzeptiert. Will gar nicht wissen bei wievielen Projekten sowas im Rahmen des möglichen wäre wenns jemand drauf anlegt und sich Gedanken macht.