(13.07.2015)Killbeat schrieb: dazu habe ich auch schon PN an betroffene User geschickt, deren Signatur die besagte Userbar enthielt. Naja Liber ein falscher Alarm, als gar keiner
Mir wäre deutlich lieber gar keiner in dem Fall. Denn sowas führt jetzt dazu, dass:
a) Die Nutzer sich angewöhnen solche Warnmeldungen zu ignorieren, oder
b) Die Nutzer das entsprechende Browserplugin entfernen
Beides nicht im Sinne des Erfinders. Weil es mich nun interessiert hat, wieso denn angeblich die Seite gefährlich ist, habe ich nun die Spur verfolgt:
http://www.sysprofile.de wird als gefährlich eingestuft, weil der Dienst
http://quttera.com die Seite (als einziger aus 63 vergleichbaren Services) als verdächtig einstuft. Warum?
Nun, weil auf eben dieser Seite folgende zwei Seiten referenziert werden:
bilder-upload.de
techpowerup.com
Bewusst verlinke ich die beiden Seiten hier nicht, weil ich diese "tollen" Virenscanner nicht unnötig verwirren will. Jedenfalls wird die Seite sysprofile.de tatsächlich nur deshalb gesperrt, weil sich irgendwo auf der Seite (da ist ein Forum dabei
) Links auf die obigen zwei Seiten befinden, welche bei Quttera auf einer Blacklist stehen.
Jetzt wird es witzig. Stößt man bei Quttera explizit einen Neuscan besagter Domains an, so liefert dieser (nach ein paar Minuten) ein katastrophales Ergebnis: hunderte von gefährlichen Dateien! :shock:
Sieht man sich dann an, warum die Dateien gefährlich sind, steht dort allerdings als Begründung sinngemäß nur: "Weil die von einer Domain eingebunden werden, die auf der Blacklist steht - und zwar der eigenen."
Diese Seiten sind also nur deshalb noch auf der Blacklist, weil sie Dateien einbinden, von Seiten die auf der Blacklist stehen. Clever Girl. Gut nur, dass Quttera direkt anbietet, gegen Bezahlung die "schädlichen Dateien" loszuwerden. Ganz, ganz versteckt gibt es aber ein Formular für die Meldung von false positives. Aber dort wird gewarnt, dass eine Bearbeitung "Tage" dauern wird.
Jupp, neue Goldgräberstimmung im Internet. Bezahl mich, sonst blackliste ich dich. Und andere Sicherheitsdienste wie Antivirensoftware glauben mir einfach, dass ich schon nicht lüge, und blacklisten dich dann auch. Was wieder andere dazu bringt usw. usw. Alle angeblichen Reports von Sicherheitsproblemen lassen sich auf diesen Dienst "Quttera" direkt oder indirekt zurückführen, btw.
Ich werde betreffende Seiten nun dort als false positive einmelden, erwarte mir aber nicht, dass irgendwas passiert. Schließlich bezahle ich nicht dafür.
EDIT: Hier mein kleines Beschwerdesupportticket, das ich soeben dort eröffnet habe:
Hello.
The website "sysprofile.de" and or "www.sysprofile.de", "logos.sysprofile.de" etc. are considered malware by your software (according to virustotal).
However, these site only reference other sites that are on your blacklist, namely "http://www.bilder-upload.eu" and "http://www.techpowerup.com". The site itself is completely clean, no scanner finds any potentially dangerous file on them.
Now I would say it is ok to mark the site as "suspicious" for referencing those other sites, but you declare it to be "malicious" (according to virus total), which is imho not the same thing. But anyway, I also checked out those two other sites, which you have blacklisted (again, you are the only service who blacklists those urls currently).
Both sites are clean in all scanners that I could find. Even your scanner seems to not be able to find anything wrong with them, except for the fact that you already blacklisted them. E.g. a scan of
http://www.techpowerup.com reveals 112 malicious files, but the reason why they are considered malicious is because the site is blacklisted by you. This circular logic doesn't look right and I think it is a bug in your software. How could a site ever pass a scan after it has been blacklisted at some time in history? Wouldn't it make more sense to reduce the verdict to at least "suspicious" if a followup scan no longer reveals any actual malicious files? It would make a lot of sense to ignore the "site is blacklisted"-property of referenced files from the same domain.
Well, these are my thoughts about your service and your systems verdicts about websites.
In short, I'd really like it if you could rescan
http://www.techpowerup.com and
http://www.bilder-upload.eu and manually check the results (as it seems those domains do not host any malware at all currently), or at least reduce the verdict on sysprofile.de to "Suspicious site", because that would better reflect the actual "threat level" that comes from sites who merely reference other sites who at some point may have hosted malware.
Thanks for listening and have a nice day.
.gif)
![[Bild: 1056515510_art.thumb.cyjzu.jpg]](https://abload.de/img/1056515510_art.thumb.cyjzu.jpg)
![[Bild: signatur_rarity_trixicqstl.png]](https://abload.de/img/signatur_rarity_trixicqstl.png)
![[Bild: animateduserbaruuqd7.gif]](https://abload.de/img/animateduserbaruuqd7.gif)
![[Bild: cl-rd-laugh.png]](https://smilies.bronies.de/smiley/104Rainbow Dash/cl-rd-laugh.png)
