• Willkommen im Geoclub - dem größten deutschsprachigen Geocaching-Forum. Registriere dich kostenlos, um alle Inhalte zu sehen und neue Beiträge zu erstellen.

Ermitteln von Final-Koordinaten mit JS

radioscout

Geoking
Eine "interessante" (widerliche?) Methode um an die Final-Koordinaten von "?"-Caches und Multis zu kommen:

http://jr849.de/allgemein/dreister-finalkoordinatenklau-per-javascript/
http://blog.team-zzzz.de/coins-tbs/gedankenfetzen-rund-um-den-final-wp-klau

Wann wird gezielt Software verbreitet, die z.B. bei der Lösung bestimmter "?"-Caches hilft aber gleichzeitig Koordinaten ausspäht?
 

GeoAtti

Geomaster
Hiho,

Abgesehen davon das es sich imo um eine Straftat handeln könnte (es werden nunmal Daten ausgespäht), ist die armseeligkeit wohl kaum noch zu unterbieten.

Atti
 

fabibr

Geomaster
Also ich finde, wer das macht, verar :zensur: sich doch nur selber. Einen Multi mach ich, weil es mir Spaß macht, wobei, bei dem einen oder anderen Mystery ist es eine Verlockung, nur finde ich es unfair dem Owner gegenüber.
Wer sich selber also veräppeln möchte, soll dies machen. Für Statistik gibt´s ja genug Tradis, alles andere möchte ich mir lieber selbst erarbeiten, das freut einen dann auch mehr und es ist dann auch teilweise ein schönes Erfolgserlebnis.
 

die-wölfe

Geocacher
:) Ein Zahlenschloss an die Final-Box oder wer keinen abgeschlossenen Cache haben will ein Zahlenschloss an das Logbuch, und die Kombination dafür gibt es nur unterwegs an den Stationen. Da nützt eine gestohlene Final-Koordinaten nichs mehr.

(Eine diskussion zum Thema abgeschlossene Cacheboxen gab es schon mal hier)

Ein aderer Weg die Final-Koordinaten vor Datendiebstahl zu schützen, wäre es sie online einfach 30 m falsch anzugeben. Bei der Abstandsbestimmung macht das keinen großen Unterschied, die Cacher die den Cache suchen, merken es nicht weil sie die online eingetragene Koordinate nicht sehen. Jemand der die Koordinate per JS gestohlen hat, sucht an der falschen Stelle. (Da könnte man dann noch eine Fake-Box mit Logbuch hin legen und herausfinden, wer Final -Koordinaten gestohlen hat.)

Mal abgesehen davon, dass die Metohde um an die Koordinaten zu kommen höchst fragwürdig (illegal) ist, betrügt sich jemand, der sowas macht im Grunde nur selbst und verpasst in der Regel eine schöne Wanderung und nette Aufgaben oder Rätsel unterwegs. Warum so jemand nicht einfach Tradis sucht ist mir ein Rätsel :???: .
 
die-wölfe schrieb:
Ein aderer Weg die Final-Koordinaten vor Datendiebstahl zu schützen, wäre es sie online einfach 30 m falsch anzugeben. Bei der Abstandsbestimmung macht das keinen großen Unterschied, die Cacher die den Cache suchen, merken es nicht weil sie die online eingetragene Koordinate nicht sehen.

Ich hoffe doch, dass das niemand wirklich macht!! Die Reviewer und andere cacheleger werden sich bestimmt freuen, wenn es deswegen Abstandskonflikte geben sollte.

Ich hoffe, die Sicherheitslücke wird bald geschlossen!
Das man mal auf dem Stammtisch oder von anderen Cachern was aufschnappt, ist mit diesem Datenklau wohl absolut nicht mer vergleichbar.
Und wenn einer keine Lust auf Rätsel hat, dann soll er sie eben nicht machen oder vielleicht mal den owner anschreiben: "Hey, ich mag kein Rätsel, cache aber gerne und würde auch deine Dose gerne finden." Er bekäme von mir die Koordinaten und wenn er wollte auch noch die Lösung des Rätsels.
 

hcy

Geoguru
Also ich find’s eigentlich genial. Warum immer die Phobie davor, einen Cache mal nicht so zu machen wie vom Owner befohlen. So ein Script zeigt doch zumindest Gehirnschmalz.
 

xtb

Geomaster
hcy schrieb:
Also ich find’s eigentlich genial. Warum immer die Phobie davor, einen Cache mal nicht so zu machen wie vom Owner befohlen. So ein Script zeigt doch zumindest Gehirnschmalz.

Du scheinst gerade total daneben zu sein, das ist Datendiebstahl und damit strafrechtlich relevant.

Lies mal im StGB § 202a.
 
hcy schrieb:
Also ich find’s eigentlich genial. Warum immer die Phobie davor, einen Cache mal nicht so zu machen wie vom Owner befohlen. So ein Script zeigt doch zumindest Gehirnschmalz.

Da bestiehlt jemand andere Leute, die im glauben sind etwas von ihm zu bekommen.
Das ganze ist wahrscheinlich sogar strafbar in unserem Land. Auch wenn es nur ein Spiel und nur Koordinaten sind, das kannst du doch nicht ernsthaft gutheissen?
Ich wünsche denjenigen, dass sie erwischt werden und von groundspeak gesperrt werden.

Lediglich, wenn es ein "Proof of concept" gewesen wäre um groundspeak auf die lücke hinzuweisen, hätte ich Verständnis gehabt. Dort ist die Lücke bekannt und wird hoffentlich geschlossen bevor jemand tatsächlich auf die Idee kommt, mit dem Skript noch ganz andere Sachen anzustellen.
 

xtb

Geomaster
Draussencacher schrieb:
Lediglich, wenn es ein "Proof of concept" gewesen wäre um groundspeak auf die lücke hinzuweisen, hätte ich Verständnis gehabt. Dort ist die Lücke bekannt und wird hoffentlich geschlossen bevor jemand tatsächlich auf die Idee kommt, mit dem Skript noch ganz andere Sachen anzustellen.

Das Problem ist, das GS diese Lücke nur auf der eigenen Seite schliessen kann. Das Script kann aber theoretisch auf jeder Website, egal ob dessen Inhalt mit Geocaching zu tun hat oder nicht, lauern.

Deshalb ist der einzige wirkliche Schutz zum Beispiel NoScript ...
 

fabibr

Geomaster
Draussencacher schrieb:
Da bestiehlt jemand andere Leute, die im glauben sind etwas von ihm zu bekommen.
Das ganze ist wahrscheinlich sogar strafbar in unserem Land. Auch wenn es nur ein Spiel und nur Koordinaten sind, das kannst du doch nicht ernsthaft gutheissen?
Ich wünsche denjenigen, dass sie erwischt werden und von groundspeak gesperrt werden.

Da möchte ich nicht wissen, wie viele es dann betreffen würde?
Es haben sich doch sicher mal mehrere hundert Cacher in Deutschland angeschaut, was da in dem Blog stand. Und diese werden sich auch sicher mal die Seite angeschaut haben, ob man da wirklich was findet. Zumal ich auch nicht glaube, dass sie es so datailliert nachweisen können, wer es sich angeschaut hat.
 
fabibr schrieb:
Da möchte ich nicht wissen, wie viele es dann betreffen würde?
Es haben sich doch sicher mal mehrere hundert Cacher in Deutschland angeschaut, was da in dem Blog stand. Und diese werden sich auch sicher mal die Seite angeschaut haben, ob man da wirklich was findet. Zumal ich auch nicht glaube, dass sie es so datailliert nachweisen können, wer es sich angeschaut hat.

Mich würde der ganze Code auch interessieren, aber ich glaube, den kann man sich nicht ohne großes suchen komplett anschauen. Hoffe ich doch!
Ich meinte lediglich die Personen, welche den Code einsetzen zB bei ihren coins.

xtb schrieb:
Das Problem ist, das GS diese Lücke nur auf der eigenen Seite schliessen kann. Das Script kann aber theoretisch auf jeder Website, egal ob dessen Inhalt mit Geocaching zu tun hat oder nicht, lauern.

Deshalb ist der einzige wirkliche Schutz zum Beispiel NoScript ...

Auf den groundspeak-seiten ist man automatisch schon angemeldet, wenn man die coin loggt. Also ist es hier doch erheblich einfacher den code auszuführen.
Wenn man den code auf einer anderen url ausführt, dann dürfte es doch auch schwieriger sein, die Sicherheitseinstellungen des Browsers (auch ohne no-script) zu umgehen oder?
Oder ist es dann genauso einfach?
 

xtb

Geomaster
fabibr schrieb:
Zumal ich auch nicht glaube, dass sie es so datailliert nachweisen können, wer es sich angeschaut hat.

Das ist eigentlich egal, Account sperren für den Versuch.

In Deutschland gilt ausserdem:

StGB § 202c (Vorbereiten des Ausspähens und Abfangens von Daten)

wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
 
Draussencacher schrieb:
xtb schrieb:
Das Problem ist, das GS diese Lücke nur auf der eigenen Seite schliessen kann. Das Script kann aber theoretisch auf jeder Website, egal ob dessen Inhalt mit Geocaching zu tun hat oder nicht, lauern.

Deshalb ist der einzige wirkliche Schutz zum Beispiel NoScript ...

Auf den groundspeak-seiten ist man automatisch schon angemeldet, wenn man die coin loggt. Also ist es hier doch erheblich einfacher den code auszuführen.
Wenn man den code auf einer anderen url ausführt, dann dürfte es doch auch schwieriger sein, die Sicherheitseinstellungen des Browsers (auch ohne no-script) zu umgehen oder?
Oder ist es dann genauso einfach?
Nein. Das oben genannte Script funktioniert nur so, wenn es im Kontext der gc.com-Seite laufen kann. Und das wiederum geht halt nur, wenn jeder beliebige User JS-Code in die gc.com-Seite einschleussen kann.
Anders müsste das Script, wenn es z.B. auf Domain xyz.com läuft, den HTML-Code von gc.com laden. Scripte können aber bei einigermaßen aktuellen Browsern auf keine Daten von anderen Domains zugreifen. Ansonsten wären Online-Banking/Shopping usw. schon längst tot.

Eindeutig in diesem Fall ein Versäumnis von Groundspeak, muss man leider mal wieder sagen.
 

xtb

Geomaster
ScandinavianMagic schrieb:
Nein. Das oben genannte Script funktioniert nur so, wenn es im Kontext der gc.com-Seite laufen kann. Und das wiederum geht halt nur, wenn jeder beliebige User JS-Code in die gc.com-Seite einschleussen kann.
Anders müsste das Script, wenn es z.B. auf Domain xyz.com läuft, den HTML-Code von gc.com laden. Scripte können aber bei einigermaßen aktuellen Browsern auf keine Daten von anderen Domains zugreifen. Ansonsten wären Online-Banking/Shopping usw. schon längst tot.

Eindeutig in diesem Fall ein Versäumnis von Groundspeak, muss man leider mal wieder sagen.

Gut zu wissen ... danke für die Info :)
 

HowC

Geomaster
hcy schrieb:
Also ich find’s eigentlich genial. Warum immer die Phobie davor, einen Cache mal nicht so zu machen wie vom Owner befohlen. So ein Script zeigt doch zumindest Gehirnschmalz.
naja... Gehirnschmalz von dem ders geschrieben hat, dem sei ein gewisser Respekt gezollt. Wenn das wer NUR anwendet ohne zu verstehen ... (nannte man die nicht script-kiddy)dann ists einfach nur arm/billig.
 

Dunuin

Geocacher
Koordinatenklau ist dabei nicht das Problem...
Sobald ich in der Lage bin, JS-Code in die GC.com Seite einzuschleusen, kann ich die Cookies auslesen und mir auf einen Server zuschicken lassen, inkl. des Session-Cookies und wenn ich das habe, kann ich mir die Session klauen und habe somit vollen Zugriff auf den Account. Kann ihn also nach belieben nutzen, um den Account zu löschen, die Adresse und Name des Besitzers anzugucken und bekomme ich zuGriff auf einen Reviewer-Account sind mal schnell alle Deutschen Caches archiviert.
Hoffe die Beheben die Lücke schnell, denn eine Accountsübernahme ist echt ein Kinderspiel, da braucht man keine Minute für um das zu programmieren und lesen wie es geht kann man ja überall.

Würde jedem empfehlen JS für Geocaching.com zu deaktivieren, bis die die Sicherheitslücke behoben haben.
 

Nicole

Geocacher
Ist das nun das Aus für Trackables? Wer sie loggt, begibt sich in Gefahr und ermöglicht erst das Ausspähen ;)
 
Oben